Ransomware е вид злонамерен софтуер, предназначен за заключване на файлове на компютър или система, докато не бъде платен откуп. Един от първите документирани откупни документи, който някога е бил документиран, е PC Cyborg от 1989 г. - той изискваше оскъдно плащане на откуп от $ 189 за декриптиране на заключени файлове.

Компютърните технологии са изминали дълъг път от 1989 г. насам, а рансъмуерът еволюира заедно с него, което води до сложни и мощни варианти като WastedLocker. И така, как работи WastedLocker? Кой е засегнат от него? И как можете да защитите устройствата си?

Какво представлява WastedLocker и как работи?

За първи път открит в началото на 2020 г., WastedLocker се управлява от прословутите хакерска група Evil Corp, който е известен също като INDRIK SPIDER или бандата Dridex и най -вероятно има връзки с руските разузнавателни агенции.

Службата за контрол на чуждестранните активи на Министерството на финансите на САЩ издаде санкции срещу Evil Corp през 2019 г. и Министерството на правосъдието повдигна обвинение срещу предполагаемия си лидер Максим Якубец, което принуди групата да промени тактиката.

instagram viewer

Атаките на WastedLocker обикновено започват със SocGholish, троянец за отдалечен достъп (RAT), който се представя за актуализации на браузъра и Flash, за да подмами целта да изтегли злонамерени файлове.

СВЪРЗАНИ: Какво е троянец за отдалечен достъп?

След като целта изтегли фалшивата актуализация, WastedLocker криптира ефективно всички файлове на компютъра си и ги добавя с „пропиляно“, което изглежда като кимване към интернет мемовете, вдъхновени от видеоиграта Grand Theft Auto серия.

Така например файл, първоначално наречен "muo.docx", ще се появи като "muo.docx.wasted" на компрометирана машина.

За заключване на файлове WastedLocker използва комбинация от Advanced Encryption Standard (AES) и Rivest-Shamir-Adleman (RSA) алгоритми за криптиране, което прави декриптирането практически невъзможно без Evil Частният ключ на Corp.

Алгоритъмът за криптиране на AES се използва от финансови институции и правителства - Агенцията за национална сигурност (NSA) например го използва за защита на строго секретна информация.

Кръстен на трима учени от Масачузетския технологичен институт (MIT), които за първи път го описват публично в През 70 -те години алгоритъмът за криптиране RSA е значително по -бавен от AES и се използва най -вече за криптиране на малки количества данни.

WastedLocker оставя бележка за откуп за всеки файл, който шифрова, и насочва жертвата да се свърже с нападателите. Съобщението обикновено съдържа имейл адрес от Protonmail, Eclipso или Tutanota.

Бележките за откуп обикновено се персонализират, споменават целевата организация по име и предупреждават да не се свързвате с властите или да споделяте имейлите за контакт с трети страни.

Проектиран за насочване към големи компании, злонамереният софтуер обикновено изисква откуп до 10 милиона долара.

Високопрофилните атаки на WastedLocker

През юни 2020 г. Symantec разкри 31 атаки на WastedLocker срещу базирани в САЩ компании. По -голямата част от целевите организации бяха големи имена на домакинства и 11 бяха компании от Fortune 500.

Рансъмуерът е насочен към компании в различни сектори, включително производство, информационни технологии и медии и телекомуникации.

Evil Corp проби мрежата на целеви компании, но Symantec успя да попречи на хакерите да внедрят WastedLocker и да държат данни за откуп.

Реалният общ брой атаки може да е много по -голям, тъй като рансъмуерът е бил внедрен чрез десетки популярни, легитимни новинарски сайтове.

Излишно е да казвам, че компаниите, които струват милиарди долари, имат първокласна защита, което говори много за това колко опасен е WastedLocker.

Същото лято Evil Corp внедри WastedLocker срещу американската компания Garmin за GPS и проследяване на фитнес, която се очаква да има годишни приходи от над 4 милиарда долара.

Като израелската компания за киберсигурност Вотиро отбелязано тогава, атаката осакатява Garmin. Това наруши много от услугите на компанията и дори имаше ефект върху кол центровете и някои производствени линии в Азия.

Според съобщенията Garmin е платил 10 милиона долара откуп, за да си възвърне достъпа до своите системи. На компанията са били необходими дни, за да стартира услугите си, което вероятно е причинило огромни финансови загуби.

Въпреки че Garmin очевидно смяташе, че плащането на откупа е най -добрият и най -ефективен начин за справяне със ситуацията, важно е да се отбележи че никога не трябва да се вярва на киберпрестъпниците - понякога те нямат стимул да предоставят ключ за декриптиране, след като получат откупа плащане.

Като цяло най -добрият начин на действие в случай на кибератака е незабавното свързване с властите.

Освен това правителствата по целия свят налагат санкции срещу хакерски групи, а понякога и тези санкции се прилагат и за лица, които подават или улесняват плащане на откуп, така че съществуват и правни рискове за обмисли.

Какво е Hades Variant Ransomware?

През декември 2020 г. изследователите по сигурността забелязаха нов вариант на ransomware, наречен Hades (няма да бъде объркан с 2016 Hades Locker, който обикновено се използва чрез имейл под формата на MS Word прикачен файл).

Анализ от CrowdStrike установи, че Hades по същество е 64-битов компилиран вариант на WastedLocker, но идентифицира няколко ключови разлики между тези две заплахи за злонамерен софтуер.

Например, за разлика от WastedLocker, Hades не оставя бележка за откуп за всеки файл, който шифрова - той създава единична бележка за откуп. Той съхранява ключовата информация в шифровани файлове, за разлика от съхраняването й в бележката за откуп.

Вариантът на Хадес не оставя информация за контакт; вместо това насочва жертвите към Tor сайт, който е персонализиран за всяка цел. Сайтът Tor позволява на жертвата да декриптира един файл безплатно, което очевидно е начин Evil Corp да демонстрира, че инструментите му за декриптиране действително работят.

Hades е насочен предимно към големи организации, базирани в САЩ, с годишни приходи над 1 $ милиарда, а разгръщането му бележи още един творчески опит на Evil Corp да извърши ребрандиране и да избегне санкции.

Как да се предпазим от WastedLocker

С нарастващите кибератаки, инвестиране в инструменти за защита от ransomware е абсолютно задължително. Също така е наложително софтуерът да бъде актуализиран на всички устройства, за да се предотврати използването на известни уязвимости от киберпрестъпниците.

Сложните варианти на ransomware като WastedLocker и Hades имат способността да се движат странично, което означава, че могат да получат достъп до всички данни в мрежа, включително облачно хранилище. Ето защо поддържането на офлайн архивиране е най -добрият начин за защита на важни данни от нарушители.

Тъй като служителите са най -честата причина за нарушения, организациите трябва да инвестират време и ресурси в обучението на персонала относно основните практики за сигурност.

В крайна сметка внедряването на модел за сигурност на Zero Trust е може би най -добрият начин за осигуряване на организация е защитен срещу кибератаки, включително тези, водени от Evil Corp и други хакери, спонсорирани от държавата групи.

ДялТуителектронна поща
Какво е мрежа с нулева доверие и как защитава вашите данни?

Искате да защитите бизнеса си от киберпрестъпници? VPN мрежите са страхотни, но може да не са толкова ефективни, колкото ZTN със софтуерно дефинирани периметри.

Прочетете Напред

Свързани теми
  • Сигурност
  • Ransomware
  • Онлайн сигурност
  • Зловреден софтуер
  • Сигурност на данните
За автора
Дамир Мужезинович (10 статии са публикувани)

Дамир е писател и репортер на свободна практика, чиято работа се фокусира върху киберсигурността. Извън писането, той обича да чете, музика и филми.

Още от Дамир Мужезинович

Абонирайте се за нашия бюлетин

Присъединете се към нашия бюлетин за технически съвети, рецензии, безплатни електронни книги и изключителни оферти!

Щракнете тук, за да се абонирате