Ransomware ir ļaunprātīgas programmatūras veids, kas paredzēts, lai bloķētu failus datorā vai sistēmā, līdz tiek samaksāta izpirkuma maksa. Viens no pirmajiem izpirkuma izdevumiem, kas jebkad tika dokumentēts, bija 1989. gada PC Cyborg - tas pieprasīja niecīgu 189 ASV dolāru lielu izpirkuma maksu, lai atšifrētu bloķētos failus.

Kopš 1989. gada datortehnoloģija ir gājusi tālu, un līdz ar to ir attīstījusies izpirkuma programmatūra, radot sarežģītus un spēcīgus variantus, piemēram, WastedLocker. Tātad, kā WastedLocker darbojas? Kuru tas ir skāris? Un kā jūs varat aizsargāt savas ierīces?

Kas ir WastedLocker un kā tas darbojas?

WastedLocker, kas pirmo reizi tika atklāts 2020. gada sākumā, pārvalda bēdīgi slavenais hakeru grupa Evil Corp, kas pazīstams arī kā INDRIK SPIDER vai Dridex banda, un, visticamāk, ir saistīts ar Krievijas izlūkdienestiem.

Amerikas Savienoto Valstu Valsts kases Ārvalstu aktīvu kontroles birojs 2019. gadā noteica sankcijas pret Evil Corp un Tieslietu ministrija izvirzīja apsūdzības savam iespējamajam līderim Maksimam Jakubetam, kas piespiedis grupējumu mainīt taktiku.

WastedLocker uzbrukumi parasti sākas ar SocGholish, attālās piekļuves Trojas zirgu (RAT), kas uzdodas par pārlūkprogrammas un Flash atjauninājumiem, lai maldinātu mērķi lejupielādēt ļaunprātīgus failus.

SAISTĪTI: Kas ir attālās piekļuves Trojas zirgs?

Kad mērķis lejupielādē viltus atjauninājumu, WastedLocker efektīvi šifrē visus failus savā datorā un pievieno tos ar "izšķērdētu", kas, šķiet, ir pamājiens interneta mēmēm, kuras iedvesmojusi Grand Theft Auto videospēle sērija.

Tā, piemēram, fails, kura nosaukums sākotnēji bija “muo.docx”, uzlauztajā datorā parādīsies kā “muo.docx.wasted”.

Failu bloķēšanai WastedLocker izmanto uzlabotā šifrēšanas standarta (AES) un Rivest-Shamir-Adleman (RSA) šifrēšanas algoritmi, kas padara atšifrēšanu praktiski neiespējamu bez ļaunuma Corp privātā atslēga.

AES šifrēšanas algoritmu izmanto finanšu iestādes un valdības - piemēram, Nacionālās drošības aģentūra (NSA) to izmanto, lai aizsargātu slepenu informāciju.

Nosaukts pēc trim Masačūsetsas Tehnoloģiju institūta (MIT) zinātniekiem, kuri pirmo reizi to publiski aprakstīja 70. gados RSA šifrēšanas algoritms ir ievērojami lēnāks nekā AES, un to galvenokārt izmanto, lai šifrētu nelielu daudzumu dati.

WastedLocker par katru šifrēto failu atstāj izpirkuma maksu un norāda cietušajam sazināties ar uzbrucējiem. Ziņojumā parasti ir Protonmail, Eclipso vai Tutanota e -pasta adrese.

Izpirkuma naudas piezīmes parasti tiek pielāgotas, minot mērķorganizāciju pēc nosaukuma un brīdina nesazināties ar iestādēm vai kopīgot e -pasta kontaktus ar trešajām personām.

Ļaunprātīga programmatūra, kas paredzēta lieliem uzņēmumiem, parasti pieprasa izpirkuma maksājumus līdz 10 miljoniem ASV dolāru.

WastedLocker augsta profila uzbrukumi

2020. gada jūnijā Symantec atklāja 31 WastedLocker uzbrukumu ASV uzņēmumiem. Lielākā daļa mērķa organizāciju bija lieli mājsaimniecību vārdi, bet 11 - Fortune 500 uzņēmumi.

Izpirkuma programmatūras mērķis bija dažādu nozaru uzņēmumi, tostarp ražošana, informācijas tehnoloģijas, plašsaziņas līdzekļi un telekomunikācijas.

Evil Corp pārkāpa mērķa uzņēmumu tīklus, bet Symantec izdevās neļaut hakeriem izvietot WastedLocker un glabāt datus par izpirkuma maksu.

Patiesais uzbrukumu kopskaits var būt daudz lielāks, jo izpirkuma programmatūra tika izvietota desmitiem populāru, likumīgu ziņu vietņu.

Lieki piebilst, ka miljardiem dolāru vērtiem uzņēmumiem ir visaugstākā līmeņa aizsardzība, kas daudz runā par to, cik bīstams ir WastedLocker.

Tajā pašā vasarā Evil Corp izvietoja WastedLocker pret amerikāņu GPS un fitnesa izsekotāju uzņēmumu Garmin, kura gada ieņēmumi tiek lēsti vairāk nekā 4 miljardu ASV dolāru apmērā.

Kā Izraēlas kiberdrošības uzņēmums Votiro toreiz atzīmēja, ka uzbrukums kropļoja Garminu. Tas pārtrauca daudzus uzņēmuma pakalpojumus un pat ietekmēja zvanu centrus un dažas ražošanas līnijas Āzijā.

Kā ziņots, Garmin samaksāja 10 miljonu dolāru izpirkuma maksu, lai atgūtu piekļuvi savām sistēmām. Uzņēmumam bija vajadzīgas dienas, lai sāktu savu pakalpojumu darbību, kas, domājams, radīja milzīgus finansiālus zaudējumus.

Lai gan Garmin acīmredzot uzskatīja, ka izpirkuma maksa ir labākais un efektīvākais veids, kā atrisināt situāciju, ir svarīgi atzīmēt ka nekad nevajadzētu uzticēties kibernoziedzniekiem - dažreiz viņiem nav stimula izsniegt atšifrēšanas atslēgu pēc izpirkuma maksas saņemšanas maksājums.

Parasti labākais risinājums kiberuzbrukuma gadījumā ir nekavējoties sazināties ar iestādēm.

Turklāt valdības visā pasaulē nosaka sankcijas pret hakeru grupām un dažreiz arī šīs sankcijas attiecas arī uz personām, kuras iesniedz vai atvieglo izpirkuma maksu, tāpēc pastāv arī juridiski riski apsvērt.

Kas ir Hades variants Ransomware?

Gada decembrī drošības pētnieki pamanīja jaunu izpirkuma programmatūras variantu ar nosaukumu Hades (nedrīkst būt) sajaukt ar 2016. gada Hades Locker, kas parasti tiek izvietots pa e -pastu MS Word formā pielikums).

Analīze no CrowdStrike atklāja, ka Hades būtībā ir 64 bitu apkopots WastedLocker variants, taču konstatēja vairākas galvenās atšķirības starp šiem diviem ļaunprātīgas programmatūras draudiem.

Piemēram, atšķirībā no WastedLocker, Hades neatstāj izpirkuma piezīmi par katru šifrēto failu - tā izveido vienu izpirkuma piezīmi. Un tā saglabā galveno informāciju šifrētos failos, nevis glabā to izpirkuma maksā.

Hades variants neatstāj kontaktinformāciju; tā vietā upuri novirza uz Tor vietni, kas ir pielāgota katram mērķim. Tor vietne ļauj upurim bez maksas atšifrēt vienu failu, kas acīmredzot ir Evil Corp veids, kā pierādīt, ka tā atšifrēšanas rīki patiešām darbojas.

Hades galvenokārt ir mērķējis uz lielām organizācijām, kas atrodas ASV un kuru gada ieņēmumi pārsniedz 1 ASV dolāru miljardus, un tā izvietošana iezīmēja vēl vienu Evil Corp radošo mēģinājumu pārdēvēt zīmolu un izvairīties no tā sankcijas.

Kā pasargāt sevi no WastedLocker

Pieaugot kiberuzbrukumiem, ieguldot izpirkuma programmatūras aizsardzības rīki ir absolūti nepieciešama. Ir arī obligāti jāatjaunina programmatūra visās ierīcēs, lai kibernoziedznieki nevarētu izmantot zināmās ievainojamības.

Sarežģītiem izpirkuma programmatūras variantiem, piemēram, WastedLocker un Hades, ir iespēja pārvietoties uz sāniem, kas nozīmē, ka tie var piekļūt visiem tīkla datiem, ieskaitot mākoņa krātuvi. Tāpēc bezsaistes dublējuma uzturēšana ir labākais veids, kā aizsargāt svarīgus datus no iebrucējiem.

Tā kā darbinieki ir visizplatītākais pārkāpumu cēlonis, organizācijām jāiegulda laiks un resursi, lai izglītotu personālu par pamata drošības praksi.

Galu galā Zero Trust drošības modeļa ieviešana neapšaubāmi ir labākais veids, kā nodrošināt organizāciju ir aizsargāts pret kiberuzbrukumiem, ieskaitot tos, ko veic Evil Corp un citi valsts sponsorēti hakeri grupas.

KopīgotČivinātE -pasts
Kas ir nulles uzticības tīkls un kā tas aizsargā jūsu datus?

Vai vēlaties aizsargāt savu uzņēmumu no kibernoziedzniekiem? VPN ir lieliski, taču tie var nebūt tik efektīvi kā ZTN ar programmatūras noteiktiem perimetriem.

Lasīt Tālāk

Saistītās tēmas
  • Drošība
  • Ransomware
  • Drošība tiešsaistē
  • Ļaunprātīga programmatūra
  • Datu drošība
Par autoru
Damirs Mujezinovičs (10 raksti publicēti)

Damirs ir ārštata rakstnieks un reportieris, kura darbs ir vērsts uz kiberdrošību. Ārpus rakstīšanas viņam patīk lasīt, muzicēt un filmēties.

Vairāk no Damira Mujezinoviča

Abonējiet mūsu biļetenu

Pievienojieties mūsu informatīvajam izdevumam, lai iegūtu tehniskus padomus, pārskatus, bezmaksas e -grāmatas un ekskluzīvus piedāvājumus!

Noklikšķiniet šeit, lai abonētu