Ransomware-operatører kan nu stjæle dine data, før de krypteres

Zeppelin Ransomware Steals Data Before Encryption

Ransomware har vist sig gang på gang at være et af de mest magtfulde våben i cyberkriminals arsenal. Oprindeligt skulle hackere skulle oprette deres egen familie med filkrypterende malware, som ikke er nøjagtigt en tur i parken, men lige nu er det nemt at leje eller downloade gratis-til-brug stammer. De fleste brugere er stadig ikke fuldt ud klar over farerne, der lurer rundt om hvert hjørne af internettet, hvilket betyder, at infektionshastighederne normalt er temmelig gode, og den samme mangel på opmærksomhed betyder, at mange ikke holder regelmæssige sikkerhedskopier af deres filer, som, på sin side har en positiv effekt på balancen i skurkenes cryptocurrency tegnebøger.

Det er en afprøvet forretningsmodel, der har fungeret for mange. Dette betyder dog ikke, at truslen ikke udvikler sig. Langt fra det, faktisk.

Tidligere blev ransomware hovedsageligt brugt i spray-og-bede-kampagner, der primært var rettet mod hjemmebrugere. I de seneste måneder har cyberkriminelle imidlertid indset, at overskuddet ved at ramme store organisationer kunne være større, og fokuset er skiftet noget. Cybersecurity-eksperter har nu set en anden, mere bekymrende tendens.

Zeppelin ransomware stjæler organisationers data, før de krypteres

I begyndelsen af december var Morphisec-forskere vidne til et angreb på en kunde hos dem, der arbejder i ejendomssektoren. Efter en nærmere undersøgelse indså de, at hackerne forsøgte at inficere virksomheden med Zeppelin ransomware, den seneste version af VegaLocker-ransomware-as-a-service-familien. Angriberen udnyttede et eksternt skrivebordsprogram under navnet ConnectWise Control (fka ScreenConnect), og generelt var der intet for usædvanligt ved infektionskæden.

Forskerne bemærkede imidlertid, at når det først fandt sig på en af offerets Windows-databaseservere, forsøgte ransomware at oprette en kopi af dataene og derefter sende dem til skurkenes Command & Control (C&C) server. Derefter forsøgte den at udbrede sig længere nede på netværket, og det omsatte endelig filkrypteringsmodulet.

Med andre ord, Zeppelin-løseprogrammet forsøgte at stjæle virksomhedens data, før de låstes og holdt dem til løsepenge. Ifølge ZDNets Catalin Cimpanu er dette langt fra den eneste ransomware-stamme, der anvender sådanne taktikker. Han sagde, at angribere, der bruger Maze, REvil og Snatch ransomware-prøverne også har deltaget i lignende aktiviteter. Men hvorfor har de pludselig besluttet, at dette er en god ide?

En mere pålidelig gendannelsesmekanisme

Hvis du tænker over det for hackere, giver det meget mening at stjæle filerne, inden de krypteres og kræve løsepenge. De risikerer faktisk at rejse mistanke, mens de prøver at udfiltrere en masse data, men sandsynligheden for at blive fanget er normalt ikke så stor. Og når du ser på fordelene, som det ekstra trin medfører, begynder du endda at undre dig over, hvorfor de ikke tænkte på det tidligere.

I et almindeligt løsepengeangreb, når offeret beslutter at betale løsepenge, sender de bitcoins til skurkenes tegnebog, og til gengæld forventer de et program, der dekrypterer de låste filer. I nogle tilfælde tager skurkerne bare pengene og kører, men der er masser af ransomware-operatører, der virkelig har til hensigt at give ofrene deres data tilbage, når de har modtaget betalingen. De har dog brug for at skrive deres egne dekryptere, og desværre laver de undertiden fejl.

Vi har hørt masser af historier om mennesker, der har mistet data på trods af at have betalt løsepenge på grund af et defekt dekrypteringsværktøj. Brugere er dem, der mister penge og data, men virkningen er også negativ for skurkerne, som ikke ender med at se meget pålidelige ud og derfor mindre tilbøjelige til at få betalt af fremtidige ofre.

Hvis hackerne har en kopi af de ikke-krypterede data, kan de imidlertid blot sende dem tilbage til ofrene efter betalingen og sikre, at tingene bliver relativt smertefrit tilbage til det normale.

Husk, hvis offeret har en sikkerhedskopi, ville alt dette være meningsløst. Medmindre naturligvis hackerne truer med at lække dataene, hvis løsepenge ikke betales.

Mere afpresning af afpresning

Som vi allerede nævnte, er målene ofte store organisationer. Hackere kan ikke stjæle feriebilleder eller pinlige selfies fra dem, men de kan udfiltrere handelshemmeligheder og anden ekstremt værdifuld information. Og når det angrebne firma siger, at det ikke vil betale, fordi det har sikkerhedskopier, kan skurkerne let true med at lække alle de følsomme data.

Ifølge ZDNets rapport har ransomware-operatører allerede brugt de stjålne databaser som et andet afpresningssted, og skurkerne, der kører Maze-ransomware, har endda oprettet et websted, hvor de viser alle virksomheder, der nægtede at betale løsepenge og efterfølgende havde deres data udsat af gruppen.

Det må siges, at ikke alle hackingbesætninger er i stand til at trække et så destruktivt angreb ud. Hvis de ønsker at stjæle og kryptere information fra mange forskellige brugere eller virksomheder, har de brug for en stor C & C-infrastruktur, som kan være dyr at installere og vedligeholde. De, der formår at finde frem til den rigtige opsætning, vil dog have en klar fordel.

December 19, 2019

Efterlad et Svar