Ransomware to rodzaj złośliwego oprogramowania zaprojektowanego do blokowania plików na komputerze lub systemie do momentu zapłaty okupu. Jednym z pierwszych programów ransomware, jakie kiedykolwiek udokumentowano, był PC Cyborg z 1989 roku — żądał on skromnej zapłaty okupu w wysokości 189 USD za odszyfrowanie zablokowanych plików.
Technologia komputerowa przeszła długą drogę od 1989 roku, a wraz z nią ewoluowało oprogramowanie ransomware, prowadząc do złożonych i potężnych wariantów, takich jak WastedLocker. Jak więc działa WastedLocker? Kogo to dotyczyło? A jak możesz chronić swoje urządzenia?
Co to jest WastedLocker i jak to działa?
Odkryta po raz pierwszy na początku 2020 roku, WastedLocker jest obsługiwana przez znaną grupa hakerów Evil Corp, który jest również znany jako INDRIK SPIDER lub gang Dridex i najprawdopodobniej ma powiązania z rosyjskimi agencjami wywiadowczymi.
Biuro Kontroli Aktywów Zagranicznych Departamentu Skarbu Stanów Zjednoczonych nałożyło sankcje na Evil Corp w 2019 r. a Departament Sprawiedliwości oskarżył swojego rzekomego lidera Maksima Yakubetsa, co zmusiło grupę do zmiany taktyki.
Ataki WastedLocker zazwyczaj rozpoczynają się od SocGholish, trojana zdalnego dostępu (RAT), który podszywa się pod aktualizacje przeglądarki i Flasha, aby nakłonić cel do pobrania złośliwych plików.
ZWIĄZANE Z: Co to jest trojan zdalnego dostępu?
Gdy cel pobierze fałszywą aktualizację, WastedLocker skutecznie szyfruje wszystkie pliki na jego komputerze i dodaje do nich słowo „zmarnowane”, które wydaje się być ukłonem w stronę internetowych memów inspirowanych grą wideo Grand Theft Auto seria.
Na przykład plik o nazwie „muo.docx” będzie wyglądał na „muo.docx.wasted” na zaatakowanej maszynie.
Aby zablokować pliki, WastedLocker używa kombinacji Advanced Encryption Standard (AES) i Algorytmy szyfrowania Rivest-Shamir-Adleman (RSA), które sprawiają, że odszyfrowanie jest praktycznie niemożliwe bez Zła Klucz prywatny korporacji.
Algorytm szyfrowania AES jest używany przez instytucje finansowe i rządy — na przykład National Security Agency (NSA) używa go do ochrony ściśle tajnych informacji.
Nazwany na cześć trzech naukowców z Massachusetts Institute of Technology (MIT), którzy po raz pierwszy publicznie opisali go w W latach 70. algorytm szyfrowania RSA jest znacznie wolniejszy niż AES i używany głównie do szyfrowania niewielkich ilości dane.
WastedLocker zostawia żądanie okupu za każdy zaszyfrowany plik i kieruje ofiarę, aby skontaktowała się z atakującymi. Wiadomość zazwyczaj zawiera adres e-mail Protonmail, Eclipso lub Tutanota.
Notatki dotyczące okupu są zwykle dostosowywane, zawierają nazwę organizacji docelowej i ostrzegają przed kontaktowaniem się z władzami lub udostępnianiem kontaktowych adresów e-mail stronom trzecim.
Zaprojektowane z myślą o dużych firmach, złośliwe oprogramowanie zwykle żąda okupu w wysokości do 10 milionów dolarów.
Głośne ataki WastedLocker
W czerwcu 2020 r. Symantec odkrył 31 ataków WastedLocker na firmy z siedzibą w USA. Zdecydowana większość docelowych organizacji to duże firmy, a 11 to firmy z listy Fortune 500.
Oprogramowanie ransomware skierowane było do firm z różnych sektorów, w tym produkcji, technologii informatycznych oraz mediów i telekomunikacji.
Evil Corp włamał się do sieci zaatakowanych firm, ale Symantecowi udało się uniemożliwić hakerom wdrożenie WastedLocker i przechowywanie danych w celu okupu.
Rzeczywista całkowita liczba ataków może być znacznie wyższa, ponieważ oprogramowanie ransomware zostało wdrożone za pośrednictwem dziesiątek popularnych, legalnych witryn z wiadomościami.
Nie trzeba dodawać, że firmy warte miliardy dolarów mają najwyższej klasy ochronę, co świadczy o tym, jak niebezpieczny jest WastedLocker.
Tego samego lata firma Evil Corp wdrożyła WastedLocker przeciwko amerykańskiej firmie Garmin zajmującej się GPS i urządzeniami do monitorowania kondycji, której roczne przychody szacuje się na ponad 4 miliardy dolarów.
Jako izraelska firma zajmująca się cyberbezpieczeństwem Wotiro Zauważono wówczas, że atak sparaliżował Garmina. Zakłóciło to wiele usług firmy, a nawet wpłynęło na call center i niektóre linie produkcyjne w Azji.
Garmin podobno zapłacił 10 milionów dolarów okupu, aby odzyskać dostęp do swoich systemów. Firma potrzebowała kilku dni, aby uruchomić swoje usługi, co prawdopodobnie spowodowało ogromne straty finansowe.
Chociaż Garmin najwyraźniej uważał, że zapłacenie okupu jest najlepszym i najskuteczniejszym sposobem zaradzenia tej sytuacji, ważne jest, aby pamiętać że nigdy nie należy ufać cyberprzestępcom — czasami nie mają motywacji do dostarczenia klucza deszyfrującego po otrzymaniu okupu Zapłata.
Generalnie najlepszym sposobem działania w przypadku cyberataku jest natychmiastowy kontakt z władzami.
Poza tym rządy na całym świecie nakładają sankcje na grupy hakerów, a czasem te sankcje mają również zastosowanie do osób, które składają lub ułatwiają zapłatę okupu, więc istnieje również ryzyko prawne, aby rozważać.
Co to jest Hades Variant Ransomware?
W grudniu 2020 r. analitycy bezpieczeństwa wykryli nowy wariant oprogramowania ransomware nazwany Hades (nie ma być mylić z Hades Lockerem 2016, który jest zwykle wdrażany za pośrednictwem poczty e-mail w postaci MS Word przywiązanie).
Analiza z CrowdStrike odkryli, że Hades jest zasadniczo 64-bitowym skompilowanym wariantem WastedLocker, ale zidentyfikował kilka kluczowych różnic między tymi dwoma zagrożeniami złośliwym oprogramowaniem.
Na przykład, w przeciwieństwie do WastedLocker, Hades nie zostawia żądania okupu za każdy zaszyfrowany plik — tworzy pojedynczy żądanie okupu. I przechowuje kluczowe informacje w zaszyfrowanych plikach, w przeciwieństwie do przechowywania ich w nocie okupu.
Wariant Hadesa nie pozostawia informacji kontaktowych; zamiast tego kieruje ofiary do witryny Tor, która jest dostosowana do każdego celu. Witryna Tor pozwala ofierze odszyfrować jeden plik za darmo, co jest ewidentnie sposobem, w jaki Evil Corp może zademonstrować, że jego narzędzia deszyfrujące rzeczywiście działają.
Hades ukierunkował się przede wszystkim na duże organizacje z siedzibą w Stanach Zjednoczonych, których roczne przychody przekraczają 1. USD miliardów, a jego wdrożenie oznaczało kolejną kreatywną próbę zmiany marki i unikania przez Evil Corp sankcje.
Jak chronić się przed WastedLocker
Wraz z rosnącą liczbą cyberataków, inwestowanie w narzędzia do ochrony przed ransomware jest absolutną koniecznością. Konieczne jest również aktualizowanie oprogramowania na wszystkich urządzeniach, aby uniemożliwić cyberprzestępcom wykorzystywanie znanych luk w zabezpieczeniach.
Wyrafinowane warianty oprogramowania ransomware, takie jak WastedLocker i Hades, mają możliwość przemieszczania się na boki, co oznacza, że mogą uzyskać dostęp do wszystkich danych w sieci, w tym do przechowywania w chmurze. Dlatego utrzymywanie kopii zapasowej offline jest najlepszym sposobem ochrony ważnych danych przed intruzami.
Ponieważ pracownicy są najczęstszą przyczyną naruszeń, organizacje powinny inwestować czas i zasoby w edukację personelu w zakresie podstawowych praktyk bezpieczeństwa.
Ostatecznie wdrożenie modelu bezpieczeństwa Zero Trust jest prawdopodobnie najlepszym sposobem zapewnienia organizacji jest chroniony przed cyberatakami, w tym atakami Evil Corp i innych hakerów sponsorowanych przez państwo grupy.
Chcesz chronić swoją firmę przed cyberprzestępcami? Sieci VPN są świetne, ale mogą nie być tak skuteczne, jak ZTN z granicami definiowanymi programowo.
Czytaj dalej
- Bezpieczeństwo
- Ransomware
- Bezpieczeństwo w Internecie
- Złośliwe oprogramowanie
- Ochrona danych
Damir jest niezależnym pisarzem i reporterem, którego praca skupia się na cyberbezpieczeństwie. Poza pisaniem lubi czytać, muzykę i film.
Zapisz się do naszego newslettera
Dołącz do naszego newslettera, aby otrzymywać porady techniczne, recenzje, bezpłatne e-booki i ekskluzywne oferty!
Kliknij tutaj, aby zasubskrybować