Το Ransomware είναι ένας τύπος κακόβουλου λογισμικού που έχει σχεδιαστεί για να κλειδώνει αρχεία σε έναν υπολογιστή ή σε ένα σύστημα έως ότου καταβληθεί λύτρα. Ένα από τα πρώτα ransomwares που τεκμηριώθηκε ποτέ ήταν το PC Cyborg του 1989 - απαιτούσε μια πενιχρή πληρωμή λύτρων 189 δολαρίων για την αποκρυπτογράφηση κλειδωμένων αρχείων.
Η τεχνολογία υπολογιστών έχει προχωρήσει πολύ από το 1989 και το ransomware έχει εξελιχθεί μαζί με αυτό, οδηγώντας σε πολύπλοκες και ισχυρές παραλλαγές όπως το WastedLocker. Πώς λειτουργεί λοιπόν το WastedLocker; Ποιος έχει επηρεαστεί από αυτό; Και πώς μπορείτε να προστατεύσετε τις συσκευές σας;
Τι είναι το WastedLocker και πώς λειτουργεί;
Ανακαλύφθηκε για πρώτη φορά στις αρχές του 2020, το WastedLocker λειτουργεί από το διαβόητο ομάδα χάκερ Evil Corp, η οποία είναι επίσης γνωστή ως INDRIK SPIDER ή η συμμορία Dridex και πιθανότατα έχει δεσμούς με ρωσικές υπηρεσίες πληροφοριών.
Το Γραφείο Ελέγχου Ξένων Περιουσιακών Στοιχείων του Υπουργείου Οικονομικών των Ηνωμένων Πολιτειών εξέδωσε κυρώσεις κατά της Evil Corp το 2019 και το Υπουργείο Δικαιοσύνης κατήγγειλε τον φερόμενο ως ηγέτη του Μακσίμ Γιακουμπέτς, γεγονός που ανάγκασε την ομάδα να αλλάξει τακτική.
Οι επιθέσεις WastedLocker ξεκινούν συνήθως με το SocGholish, ένα Trojan Remote Access (RAT) που υποδύεται τις ενημερώσεις του προγράμματος περιήγησης και του Flash για να ξεγελάσει τον στόχο στη λήψη κακόβουλων αρχείων.
ΣΧΕΤΙΖΕΤΑΙ ΜΕ: Τι είναι το Trojan Remote Access;
Μόλις ο στόχος κατεβάσει την πλαστή ενημέρωση, το WastedLocker κρυπτογραφεί αποτελεσματικά όλα τα αρχεία στον υπολογιστή του και τα προσθέτει με το "wasted", το οποίο φαίνεται να είναι ένα νεύμα στα διαδικτυακά μιμίδια εμπνευσμένα από το βιντεοπαιχνίδι Grand Theft Auto σειρά.
Έτσι, για παράδειγμα, ένα αρχείο που αρχικά ονομαζόταν "muo.docx" θα εμφανιζόταν ως "muo.docx.wasted" σε ένα μηχάνημα που παραβιάστηκε.
Για να κλειδώσετε αρχεία, το WastedLocker χρησιμοποιεί ένα συνδυασμό Advanced Standard Encryption Standard (AES) και Αλγόριθμοι κρυπτογράφησης Rivest-Shamir-Adleman (RSA), που καθιστά την αποκρυπτογράφηση ουσιαστικά αδύνατη χωρίς το Κακό Ιδιωτικό κλειδί Corp.
Ο αλγόριθμος κρυπτογράφησης AES χρησιμοποιείται από χρηματοπιστωτικά ιδρύματα και κυβερνήσεις - για παράδειγμα, η Υπηρεσία Εθνικής Ασφάλειας (NSA) τον χρησιμοποιεί για την προστασία άκρως απόρρητων πληροφοριών.
Πήρε το όνομά του από τρεις επιστήμονες του Ινστιτούτου Τεχνολογίας της Μασαχουσέτης (MIT) που το περιέγραψαν για πρώτη φορά δημόσια στο 1970, ο αλγόριθμος κρυπτογράφησης RSA είναι σημαντικά πιο αργός από τον AES και χρησιμοποιείται κυρίως για την κρυπτογράφηση μικρών ποσοτήτων δεδομένα.
Το WastedLocker αφήνει ένα σημείωμα λύτρων για κάθε αρχείο που κρυπτογραφεί και κατευθύνει το θύμα να επικοινωνήσει με τους επιτιθέμενους. Το μήνυμα περιέχει συνήθως μια διεύθυνση ηλεκτρονικού ταχυδρομείου Protonmail, Eclipso ή Tutanota.
Οι σημειώσεις λύτρων συνήθως προσαρμόζονται, αναφέρουν το όνομα του οργανισμού -στόχου και προειδοποιούν να μην επικοινωνήσετε με τις αρχές ή να μοιραστείτε τα μηνύματα ηλεκτρονικού ταχυδρομείου επαφών με τρίτα μέρη.
Σχεδιασμένο για να στοχεύει μεγάλες εταιρείες, το κακόβουλο λογισμικό απαιτεί συνήθως πληρωμές λύτρων έως και 10 εκατομμύρια δολάρια.
Επιθέσεις υψηλού προφίλ του WastedLocker
Τον Ιούνιο του 2020, Symantec αποκάλυψε 31 επιθέσεις WastedLocker σε αμερικανικές εταιρείες. Η συντριπτική πλειοψηφία των στοχευμένων οργανώσεων ήταν μεγάλα ονόματα και 11 ήταν εταιρείες του Fortune 500.
Το ransomware στοχεύει σε εταιρείες σε διάφορους τομείς, συμπεριλαμβανομένης της κατασκευής, της τεχνολογίας των πληροφοριών και των μέσων ενημέρωσης και των τηλεπικοινωνιών.
Η Evil Corp παραβίασε τα δίκτυα στοχευμένων εταιρειών, αλλά η Symantec κατάφερε να εμποδίσει τους χάκερ να αναπτύξουν το WastedLocker και να κρατήσουν δεδομένα για λύτρα.
Ο πραγματικός συνολικός αριθμός επιθέσεων μπορεί να είναι πολύ μεγαλύτερος επειδή το ransomware αναπτύχθηκε μέσω δεκάδων δημοφιλών, νόμιμων ειδησεογραφικών ιστότοπων.
Περιττό να πούμε ότι οι εταιρείες αξίας δισεκατομμυρίων δολαρίων έχουν κορυφαία προστασία, κάτι που μιλάει για το πόσο επικίνδυνο είναι το WastedLocker.
Το ίδιο καλοκαίρι, η Evil Corp ανέπτυξε το WastedLocker ενάντια στην αμερικανική εταιρεία GPS και fitness-tracker Garmin, η οποία εκτιμάται ότι έχει ετήσια έσοδα άνω των 4 δισεκατομμυρίων δολαρίων.
Ως η ισραηλινή εταιρεία κυβερνοασφάλειας Votiro σημειώθηκε εκείνη την εποχή, η επίθεση ανάπηρε τον Garmin. Διακόπηκε πολλές από τις υπηρεσίες της εταιρείας και μάλιστα είχε αντίκτυπο στα τηλεφωνικά κέντρα και σε ορισμένες γραμμές παραγωγής στην Ασία.
Η Garmin φέρεται να πλήρωσε λύτρα 10 εκατομμυρίων δολαρίων για να αποκτήσει ξανά πρόσβαση στα συστήματά της. Χρειάστηκαν μέρες για να ξεκινήσει η λειτουργία των υπηρεσιών της, κάτι που προκάλεσε πιθανώς τεράστιες οικονομικές απώλειες.
Αν και ο Garmin προφανώς πίστευε ότι η πληρωμή των λύτρων ήταν ο καλύτερος και πιο αποτελεσματικός τρόπος αντιμετώπισης της κατάστασης, είναι σημαντικό να σημειωθεί ότι δεν πρέπει ποτέ να εμπιστεύεστε τους εγκληματίες στον κυβερνοχώρο - μερικές φορές δεν έχουν κανένα κίνητρο να παρέχουν ένα κλειδί αποκρυπτογράφησης μετά τη λήψη του λύτρου πληρωμή.
Γενικά, ο καλύτερος τρόπος δράσης σε περίπτωση κυβερνοεπίθεσης είναι να επικοινωνήσετε αμέσως με τις αρχές.
Επιπλέον, οι κυβερνήσεις σε όλο τον κόσμο επιβάλλουν κυρώσεις κατά ομάδων χάκερ, και μερικές φορές αυτές τις κυρώσεις ισχύουν επίσης για άτομα που υποβάλλουν ή διευκολύνουν την πληρωμή λύτρων, επομένως υπάρχουν και νομικοί κίνδυνοι σκεφτείτε.
Τι είναι το Hades Variant Ransomware;
Τον Δεκέμβριο του 2020, οι ερευνητές ασφαλείας εντόπισαν μια νέα παραλλαγή ransomware που ονομάστηκε Hades (δεν είναι συγχέεται με το Hades Locker του 2016, το οποίο συνήθως αναπτύσσεται μέσω email με τη μορφή MS Word συνημμένο).
Μια ανάλυση από CrowdStrike διαπίστωσε ότι ο Άδης είναι ουσιαστικά μια μεταγλωττισμένη παραλλαγή 64-bit του WastedLocker, αλλά εντόπισε αρκετές βασικές διαφορές μεταξύ αυτών των δύο απειλών για κακόβουλο λογισμικό.
Για παράδειγμα, σε αντίθεση με το WastedLocker, ο Άδης δεν αφήνει μια σημείωση λύτρων για κάθε αρχείο που κρυπτογραφεί - δημιουργεί μια ενιαία σημείωση λύτρων. Και αποθηκεύει τις βασικές πληροφορίες σε κρυπτογραφημένα αρχεία, σε αντίθεση με την αποθήκευσή τους στο σημείωμα λύτρων.
Η παραλλαγή Hades δεν αφήνει στοιχεία επικοινωνίας. Αντίθετα, κατευθύνει τα θύματα σε έναν ιστότοπο Tor, ο οποίος είναι προσαρμοσμένος για κάθε στόχο. Ο ιστότοπος Tor επιτρέπει στο θύμα να αποκρυπτογραφήσει ένα αρχείο δωρεάν, κάτι που είναι προφανώς ένας τρόπος για το Evil Corp να αποδείξει ότι τα εργαλεία αποκρυπτογράφησής του λειτουργούν πραγματικά.
Ο Άδης στοχεύει κυρίως σε μεγάλους οργανισμούς με έδρα τις ΗΠΑ με ετήσια έσοδα που ξεπερνούν το 1 $ δισεκατομμύρια, και η ανάπτυξή του σηματοδότησε μια ακόμη δημιουργική προσπάθεια της Evil Corp να επανατοποθετηθεί και να αποφευχθεί κυρώσεις.
Πώς να προστατευτείτε από το WastedLocker
Με τις κυβερνοεπιθέσεις να αυξάνονται, επενδύοντας σε εργαλεία προστασίας ransomware είναι απόλυτο must. Είναι επίσης επιτακτική ανάγκη η ενημέρωση του λογισμικού σε όλες τις συσκευές, προκειμένου να αποφευχθούν οι εγκληματίες στον κυβερνοχώρο από την εκμετάλλευση γνωστών τρωτών σημείων.
Εκλεπτυσμένες παραλλαγές ransomware όπως το WastedLocker και ο Άδης έχουν τη δυνατότητα να κινούνται πλευρικά, πράγμα που σημαίνει ότι μπορούν να αποκτήσουν πρόσβαση σε όλα τα δεδομένα σε ένα δίκτυο, συμπεριλαμβανομένου του cloud storage. Αυτός είναι ο λόγος για τον οποίο η διατήρηση ενός αντιγράφων ασφαλείας εκτός σύνδεσης είναι ο καλύτερος τρόπος για την προστασία σημαντικών δεδομένων από εισβολείς.
Δεδομένου ότι οι εργαζόμενοι είναι η πιο κοινή αιτία παραβιάσεων, οι οργανισμοί θα πρέπει να επενδύσουν χρόνο και πόρους στην εκπαίδευση του προσωπικού σχετικά με βασικές πρακτικές ασφάλειας.
Τελικά, η εφαρμογή ενός μοντέλου ασφαλείας Zero Trust είναι αναμφισβήτητα ο καλύτερος τρόπος διασφάλισης ενός οργανισμού προστατεύεται από κυβερνοεπιθέσεις, συμπεριλαμβανομένων εκείνων που διεξήγαγε η Evil Corp και άλλος χάκερ που χρηματοδοτείται από το κράτος ομάδες.
Θέλετε να προστατέψετε την επιχείρησή σας από εγκληματίες στον κυβερνοχώρο; Τα VPN είναι υπέροχα, αλλά ενδέχεται να μην είναι τόσο αποτελεσματικά όσο τα ZTN με περιμετρικά καθορισμένα από λογισμικό.
Διαβάστε Επόμενο
- Ασφάλεια
- Ransomware
- Online Ασφάλεια
- Κακόβουλο λογισμικό
- Ασφάλεια δεδομένων
Ο Νταμίρ είναι ανεξάρτητος συγγραφέας και δημοσιογράφος του οποίου το έργο επικεντρώνεται στην ασφάλεια στον κυβερνοχώρο. Εκτός από τη συγγραφή, του αρέσει το διάβασμα, η μουσική και ο κινηματογράφος.
Εγγραφείτε στο newsletter μας
Εγγραφείτε στο ενημερωτικό μας δελτίο για τεχνικές συμβουλές, κριτικές, δωρεάν ebooks και αποκλειστικές προσφορές!
Κάντε κλικ εδώ για εγγραφή