„Ransomware“ yra kenkėjiškos programinės įrangos rūšis, skirta užrakinti failus kompiuteryje ar sistemoje, kol bus sumokėta išpirkos kaina. Viena pirmųjų kada nors užfiksuotų išpirkos priemonių buvo 1989 m. „PC Cyborg“ - ji reikalavo nedidelio 189 USD išpirkos mokesčio užšifruoti užrakintus failus.

Kompiuterinės technologijos nuėjo ilgą kelią nuo 1989 m., O kartu su ja išsivystė išpirkos programos, sukėlusios sudėtingus ir stiprius variantus, tokius kaip „WastedLocker“. Taigi, kaip veikia „WastedLocker“? Kas nuo to nukentėjo? Ir kaip galite apsaugoti savo prietaisus?

Kas yra „WastedLocker“ ir kaip jis veikia?

Pirmą kartą atrastas 2020 m. Pradžioje, „WastedLocker“ valdo žinomi įsilaužėlių grupė „Evil Corp“, kuris taip pat žinomas kaip INDRIK SPIDER arba „Dridex“ gauja ir greičiausiai turi ryšių su Rusijos žvalgybos agentūromis.

Jungtinių Valstijų iždo departamento Užsienio turto kontrolės tarnyba paskelbė sankcijas „Evil Corp“ 2019 m ir Teisingumo departamentas apkaltino savo tariamą lyderį Maksimą Yakubetsą, kuris privertė grupę keisti taktiką.

instagram viewer

„WastedLocker“ atakos paprastai prasideda nuo „SocGholish“, nuotolinės prieigos Trojos arklys (RAT), kuris apsimetinėja naršyklės ir „Flash“ naujinimais, kad apgautų tikslą atsisiųsti kenkėjiškus failus.

SUSIJĘS: Kas yra nuotolinės prieigos Trojos arklys?

Kai taikinys atsisiunčia netikrą naujinimą, „WastedLocker“ efektyviai užšifruoja visus savo kompiuteryje esančius failus ir prideda juos „švaistomais“, o tai, atrodo, yra linktelėjimas į interneto memes, įkvėptas „Grand Theft Auto“ vaizdo žaidimo serija.

Pavyzdžiui, failas, pavadintas „muo.docx“, pažeistame kompiuteryje pasirodys kaip „muo.docx.wasted“.

Norėdami užrakinti failus, „WastedLocker“ naudoja išplėstinio šifravimo standarto (AES) ir „Rivest-Shamir-Adleman“ (RSA) šifravimo algoritmai, dėl kurių iššifravimas praktiškai neįmanomas be blogio „Corp“ privatus raktas.

AES šifravimo algoritmą naudoja finansų institucijos ir vyriausybės - pavyzdžiui, Nacionalinė saugumo agentūra (NSA) naudoja jį slaptos informacijos apsaugai.

Pavadintas trijų Masačusetso technologijos instituto (MIT) mokslininkų, kurie pirmą kartą jį viešai aprašė Aštuntajame dešimtmetyje RSA šifravimo algoritmas yra žymiai lėtesnis nei AES ir dažniausiai naudojamas užšifruoti nedidelius kiekius duomenis.

„WastedLocker“ už kiekvieną užšifruotą failą palieka išpirkos raštą ir nurodo nukentėjusiajam susisiekti su užpuolikais. Pranešime paprastai yra „Protonmail“, „Eclipso“ arba „Tutanota“ el. Pašto adresas.

Išpirkos užrašai paprastai yra pritaikomi, juose nurodoma tikslinė organizacija pagal pavadinimą ir įspėjama nesikreipti į valdžios institucijas ar nesidalyti kontaktiniais el. Laiškais su trečiosiomis šalimis.

Kenkėjiška programa, skirta didelėms įmonėms, paprastai reikalauja išpirkos iki 10 mln.

„WastedLocker“ aukšto lygio atakos

2020 metų birželio mėn. „Symantec“ atskleidė 31 „WastedLocker“ išpuolį prieš JAV įsikūrusias įmones. Didžioji dauguma tikslinių organizacijų buvo didelės buitinės pavardės, o 11 - „Fortune 500“ įmonės.

Išpirkos programinė įranga buvo skirta įvairių sektorių įmonėms, įskaitant gamybą, informacines technologijas, žiniasklaidą ir telekomunikacijas.

„Evil Corp“ pažeidė tikslinių bendrovių tinklus, tačiau „Symantec“ sugebėjo neleisti įsilaužėliams diegti „WastedLocker“ ir saugoti duomenų už išpirką.

Tikrasis bendras išpuolių skaičius gali būti daug didesnis, nes išpirkos programa buvo dislokuota per dešimtis populiarių, teisėtų naujienų svetainių.

Nereikia nė sakyti, kad milijardų dolerių vertės įmonės turi aukščiausio lygio apsaugą, o tai kalba apie tai, koks pavojingas yra „WastedLocker“.

Tą pačią vasarą „Evil Corp“ dislokavo „WastedLocker“ prieš amerikiečių GPS ir fitneso sekimo įmonę „Garmin“, kurios metinės pajamos yra daugiau nei 4 mlrd.

Kaip Izraelio kibernetinio saugumo kompanija Votiro pažymėjo tuo metu, ataka suluošino Garminą. Tai sutrikdė daugelį bendrovės paslaugų ir netgi turėjo įtakos skambučių centrams ir kai kurioms Azijos gamybos linijoms.

Pranešama, kad „Garmin“ sumokėjo 10 milijonų dolerių išpirką, kad atgautų prieigą prie savo sistemų. Įmonei prireikė dienų, kad ji pradėtų veikti, o tai, tikėtina, sukėlė didelių finansinių nuostolių.

Nors Garminas, matyt, manė, kad išpirkos mokėjimas yra geriausias ir efektyviausias būdas išspręsti situaciją, svarbu atkreipti dėmesį kad niekada nereikėtų pasitikėti elektroniniais nusikaltėliais - kartais jie neturi paskatos, gavę išpirką, pateikti iššifravimo raktą mokėjimas.

Paprastai kibernetinės atakos atveju geriausia imtis veiksmų - nedelsiant kreiptis į valdžios institucijas.

Be to, vyriausybės visame pasaulyje taiko sankcijas įsilaužėlių grupėms, o kartais ir šias sankcijas taip pat taikomi asmenims, kurie pateikia išpirkos mokėjimą arba jį palengvina, todėl kyla ir teisinė rizika apsvarstyti.

Kas yra „Hades Variant Ransomware“?

2020 metų gruodį saugumo tyrėjai pastebėjo naują išpirkos programinės įrangos variantą, pavadintą „Hades“ (to neturėtų būti) painiojama su 2016 m. „Hades Locker“, kuri paprastai diegiama el. paštu „MS Word“ forma priedas).

Analizė iš „CrowdStrike“ nustatė, kad „Hades“ iš esmės yra 64 bitų sudarytas „WastedLocker“ variantas, tačiau nustatė keletą esminių šių dviejų kenkėjiškų programų grėsmių skirtumų.

Pavyzdžiui, skirtingai nei „WastedLocker“, „Hades“ nepalieka išpirkos užrašo už kiekvieną užšifruotą failą - sukuria vieną išpirkos užrašą. Pagrindinę informaciją ji saugo užšifruotuose failuose, o ne saugo ją išpirkos rašte.

„Hades“ variantas nepalieka kontaktinės informacijos; jis nukreipia aukas į „Tor“ svetainę, kuri yra pritaikyta kiekvienam taikiniui. „Tor“ svetainė leidžia aukai nemokamai iššifruoti vieną failą, o tai akivaizdžiai yra „Evil Corp“ būdas parodyti, kad jos iššifravimo įrankiai iš tikrųjų veikia.

„Hades“ pirmiausia nukreipė į dideles JAV įsikūrusias organizacijas, kurių metinės pajamos viršija 1 USD milijardų, o jo diegimas buvo dar vienas „Evil Corp“ kūrybinis bandymas pakeisti prekės ženklą ir išvengti sankcijas.

Kaip apsisaugoti nuo „WastedLocker“

Augant kibernetinėms atakoms, investuojant į apsaugos nuo išpirkos programos yra absoliuti būtinybė. Taip pat būtina nuolat atnaujinti programinę įrangą visuose įrenginiuose, kad kibernetiniai nusikaltėliai negalėtų išnaudoti žinomų pažeidžiamumų.

Sudėtingi išpirkos programos variantai, tokie kaip „WastedLocker“ ir „Hades“, turi galimybę judėti į šoną, o tai reiškia, kad jie gali pasiekti visus tinklo duomenis, įskaitant debesies saugyklą. Štai kodėl atsarginės kopijos palaikymas neprisijungus yra geriausias būdas apsaugoti svarbius duomenis nuo įsibrovėlių.

Kadangi darbuotojai yra dažniausia pažeidimų priežastis, organizacijos turėtų investuoti laiko ir išteklių, kad mokytų personalą apie pagrindines saugumo praktikas.

Galiausiai „Zero Trust“ saugumo modelio įgyvendinimas yra neabejotinai geriausias būdas užtikrinti organizaciją yra apsaugotas nuo kibernetinių atakų, įskaitant tas, kurias vykdo „Evil Corp“ ir kiti valstybės remiami įsilaužėliai grupes.

Dalintis„Tweet“Paštu
Kas yra nulinis pasitikėjimo tinklas ir kaip jis apsaugo jūsų duomenis?

Norite apsaugoti savo verslą nuo kibernetinių nusikaltėlių? VPN yra puikūs, tačiau jie gali būti ne tokie veiksmingi kaip ZTN su programinės įrangos apibrėžtais perimetrais.

Skaityti toliau

Susijusios temos
  • Saugumas
  • „Ransomware“
  • Sauga internete
  • Kenkėjiška programa
  • Duomenų saugumas
Apie autorių
Damiras Mujezinovičius (Paskelbta 10 straipsnių)

Damiras yra laisvai samdomas rašytojas ir reporteris, kurio darbas yra skirtas kibernetiniam saugumui. Be rašymo, jis mėgsta skaityti, muziką ir filmus.

Daugiau iš Damiro Mujezinovičiaus

Prenumeruokite mūsų naujienlaiškį

Prisijunkite prie mūsų naujienlaiškio, kad gautumėte techninių patarimų, apžvalgų, nemokamų el. Knygų ir išskirtinių pasiūlymų!

Norėdami užsiprenumeruoti, spustelėkite čia