Ransomware je druh škodlivého softwaru určeného k uzamčení souborů v počítači nebo systému, dokud není zaplaceno výkupné. Jedním z prvních zdokumentovaných výkupných věcí byl PC Cyborg z roku 1989 - za dešifrování uzamčených souborů požadoval skromné ​​výkupné ve výši 189 USD.

Počítačová technologie prošla od roku 1989 dlouhou cestu a spolu s ní se vyvíjel i ransomware, který vedl ke složitým a účinným variantám, jako je WastedLocker. Jak tedy WastedLocker funguje? Koho se to týkalo? A jak můžete svá zařízení chránit?

Co je WastedLocker a jak funguje?

Poprvé objevil na začátku roku 2020, WastedLocker je provozován notoricky známým hackerská skupina Evil Corp, který je také známý jako INDRIK SPIDER nebo gang Dridex, a s největší pravděpodobností má vazby na ruské zpravodajské služby.

Úřad pro kontrolu zahraničních aktiv amerického ministerstva financí vydal sankce proti společnosti Evil Corp v roce 2019 a ministerstvo spravedlnosti obvinilo jeho údajného vůdce Maksima Yakubetse, který skupinu přinutil změnit taktiku.

instagram viewer

Útoky WastedLocker obvykle začínají SocGholish, trojským koněm vzdáleného přístupu (RAT), který zosobňuje aktualizace prohlížeče a Flash, aby přiměl cíl stáhnout škodlivé soubory.

PŘÍBUZNÝ: Co je to trojský kůň pro vzdálený přístup?

Jakmile si cíl stáhne falešnou aktualizaci, WastedLocker efektivně zašifruje všechny soubory na svém počítači a připojuje je „wasted“, což vypadá jako kývnutí na internetové memy inspirované videohrou Grand Theft Auto série.

Například soubor původně pojmenovaný „muo.docx“ by na kompromitovaném počítači vypadal jako „muo.docx.wasted“.

K uzamčení souborů používá WastedLocker kombinaci Advanced Encryption Standard (AES) a Šifrovací algoritmy Rivest-Shamir-Adleman (RSA), díky nimž je dešifrování bez Zla prakticky nemožné Soukromý klíč společnosti Corp.

Šifrovací algoritmus AES používají finanční instituce a vlády - například Národní bezpečnostní agentura (NSA) jej používá k ochraně přísně tajných informací.

Pojmenován po třech vědcích z Massachusettského technologického institutu (MIT), kteří jej poprvé veřejně popsali v V 70. letech je šifrovací algoritmus RSA podstatně pomalejší než AES a většinou se používá k šifrování malého množství data.

WastedLocker zanechá výkupné za každý soubor, který zašifruje, a nasměruje oběť, aby kontaktovala útočníky. Zpráva obvykle obsahuje e -mailovou adresu Protonmail, Eclipso nebo Tutanota.

Výkupné je obvykle přizpůsobeno, zmiňuje cílovou organizaci jménem a varuje před kontaktováním úřadů nebo sdílením kontaktních e -mailů s třetími stranami.

Malware je určen k cílení na velké společnosti a obvykle požaduje výkupné až do výše 10 milionů dolarů.

WastedLocker's High-Profile Attacks

V červnu 2020, Symantec odkrylo 31 útoků WastedLocker na společnosti se sídlem v USA. Drtivá většina cílených organizací byla velká jména domácností a 11 společností Fortune 500.

Ransomware se zaměřil na společnosti v různých odvětvích, včetně výroby, informačních technologií a médií a telekomunikací.

Společnost Evil Corp narušila sítě cílených společností, ale společnosti Symantec se podařilo zabránit hackerům v nasazení WastedLocker a uchovávání dat za výkupné.

Skutečný celkový počet útoků může být mnohem vyšší, protože ransomware byl nasazen prostřednictvím desítek populárních, legitimních zpravodajských serverů.

Není třeba říkat, že společnosti, které mají hodnotu miliard dolarů, mají špičkovou ochranu, což vypovídá o tom, jak nebezpečný je WastedLocker.

Téhož léta nasadil Evil Corp WastedLocker proti americké společnosti Garmin pro GPS a fitness trackery, která má podle odhadů roční příjem přes 4 miliardy dolarů.

Jako izraelská společnost pro kybernetickou bezpečnost Votiro v té době poznamenal, že útok zmrzačil Garmin. Narušilo to mnoho služeb společnosti a dokonce to mělo vliv na call centra a některé výrobní linky v Asii.

Garmin údajně zaplatil výkupné 10 milionů dolarů, aby znovu získal přístup ke svým systémům. Trvalo společnosti několik dní, než uvedla své služby do provozu, což pravděpodobně způsobilo obrovské finanční ztráty.

Ačkoli si Garmin zjevně myslel, že výkupné je nejlepší a nejefektivnější způsob, jak situaci vyřešit, je důležité si uvědomit, že že bychom nikdy neměli věřit kyberzločincům - někdy nemají motivaci poskytnout dešifrovací klíč po obdržení výkupného Způsob platby.

Obecně je nejlepším postupem v případě kyberútoku okamžité kontaktování úřadů.

Kromě toho vlády po celém světě ukládají sankce proti hackerským skupinám a někdy tyto sankce platí také pro jednotlivce, kteří předloží nebo usnadní výplatu výplaty, takže existuje také právní riziko zvážit.

Co je Hades Variant Ransomware?

V prosinci 2020 si vědci v oblasti bezpečnosti všimli nové varianty ransomwaru s názvem Hades (není zaměněno s 2016 Hades Locker, který je obvykle nasazen prostřednictvím e -mailu ve formě MS Word příloha).

Analýza od Crowd Strike zjistil, že Hades je v podstatě 64bitovou kompilovanou variantou WastedLocker, ale identifikoval několik klíčových rozdílů mezi těmito dvěma hrozbami malwaru.

Například, na rozdíl od WastedLocker, Hades nezanechává výkupné pro každý soubor, který zašifruje - vytvoří jedinou výkupné. A ukládá klíčové informace do šifrovaných souborů, na rozdíl od jejich uložení do výkupného.

Varianta Hades nezanechává kontaktní informace; místo toho nasměruje oběti na stránky Tor, které jsou přizpůsobeny pro každý cíl. Web Tor umožňuje oběti bezplatně dešifrovat jeden soubor, což je evidentně způsob, jakým Evil Corp dokáže, že jeho dešifrovací nástroje skutečně fungují.

Hades se primárně zaměřil na velké organizace se sídlem v USA s ročními příjmy přesahujícími 1 $ miliarda a jeho nasazení znamenalo další kreativní pokus společnosti Evil Corp rebrandovat a vyhnout se jí sankce.

Jak se chránit před WastedLocker

S kybernetickými útoky na vzestupu, investice do nástroje pro ochranu před ransomwarem je absolutní nutností. Je také nezbytné udržovat software aktuální na všech zařízeních, aby se počítačovým zločincům zabránilo ve využívání známých zranitelností.

Sofistikované varianty ransomwaru, jako jsou WastedLocker a Hades, mají možnost laterálního pohybu, což znamená, že mohou získat přístup ke všem datům v síti, včetně cloudového úložiště. Z tohoto důvodu je udržování offline zálohy nejlepším způsobem, jak chránit důležitá data před vetřelci.

Protože zaměstnanci jsou nejčastější příčinou porušení, organizace by měly investovat čas a prostředky do vzdělávání zaměstnanců o základních bezpečnostních postupech.

Nakonec je implementace bezpečnostního modelu Zero Trust pravděpodobně nejlepším způsobem, jak zajistit organizaci je chráněn před kybernetickými útoky, včetně těch vedených společností Evil Corp a dalším státem sponzorovaným hackerem skupiny.

PodíltweetE-mailem
Co je to síť s nulovou důvěryhodností a jak chrání vaše data?

Chcete chránit svou firmu před kyberzločinci? VPN jsou skvělé, ale nemusí být tak účinné jako ZTN se softwarově definovanými obvody.

Číst dále

Související témata
  • Bezpečnostní
  • Ransomware
  • Zabezpečení online
  • Malware
  • Bezpečnost dat
O autorovi
Damir Mujezinovic (10 článků zveřejněno)

Damir je nezávislý spisovatel a reportér, jehož práce se zaměřuje na kybernetickou bezpečnost. Mimo psaní rád čte, hudbu a film.

Více od Damira Mujezinoviče

Přihlaste se k odběru našeho zpravodaje

Připojte se k našemu zpravodaji a získejte technické tipy, recenze, bezplatné elektronické knihy a exkluzivní nabídky!

Kliknutím sem se přihlásíte k odběru