Οι χειριστές Ransomware μπορούν τώρα να κλέψουν τα δεδομένα σας πριν την κρυπτογράφηση

Zeppelin Ransomware Steals Data Before Encryption

Το Ransomware έχει αποδείξει ξανά και ξανά ότι είναι ένα από τα πιο ισχυρά όπλα στο οπλοστάσιο των εγκληματιών του κυβερνοχώρου. Αρχικά, οι χάκερ θα χρειαστεί να δημιουργήσουν τη δική τους οικογένεια κακόβουλου λογισμικού κρυπτογράφησης αρχείων, το οποίο δεν είναι ακριβώς μια βόλτα στο πάρκο, αλλά αυτή τη στιγμή, η ενοικίαση ή η λήψη δωρεάν στελεχών είναι εύκολη. Οι περισσότεροι χρήστες εξακολουθούν να μην έχουν πλήρη επίγνωση των κινδύνων που κρύβονται γύρω από κάθε γωνιά του Διαδικτύου, πράγμα που σημαίνει ότι τα ποσοστά μόλυνσης είναι συνήθως αρκετά καλά και η ίδια έλλειψη συνειδητοποίησης σημαίνει ότι πολλοί δεν κρατούν τακτικά αντίγραφα ασφαλείας των αρχείων τους, με τη σειρά του, έχει θετική επίδραση στην ισορροπία στα πορτοφόλια κρυπτογράφησης εγκληματιών.

Είναι ένα δοκιμασμένο επιχειρηματικό μοντέλο που έχει εργαστεί για πολλούς. Αυτό όμως δεν σημαίνει ότι η απειλή δεν εξελίσσεται. Μακριά από αυτό, στην πραγματικότητα.

Στο παρελθόν, τα ransomware χρησιμοποιήθηκαν ως επί το πλείστον σε εκστρατείες ψεκασμού και προσευχής που απευθύνονταν κυρίως στους οικιακούς χρήστες. Ωστόσο, τους τελευταίους μήνες, οι κυβερνοεγκληματίες έχουν συνειδητοποιήσει ότι τα κέρδη από το χτύπημα μεγάλων οργανισμών θα μπορούσαν να είναι μεγαλύτερα και το επίκεντρο έχει μετατοπιστεί κάπως. Οι ειδικοί στον τομέα της ασφάλειας στον κυβερνοχώρο έχουν πλέον εντοπίσει μια άλλη ανησυχητική τάση.

Το Zeppelin ransomware κλέβει τα δεδομένα των οργανισμών πριν το κρυπτογραφήσει

Στις αρχές Δεκεμβρίου, οι ερευνητές του Morphisec είδαν μια επίθεση εναντίον ενός πελάτη του που εργάζεται στον τομέα των ακινήτων. Μετά από μια στενότερη έρευνα, συνειδητοποίησαν ότι οι χάκερ προσπαθούσαν να μολύνουν την εταιρεία με το ransomware Zeppelin, την τελευταία έκδοση της οικογένειας VegaLocker ransomware-as-a-service. Οι επιτιθέμενοι εκμεταλλεύονταν μια εφαρμογή απομακρυσμένης επιφάνειας εργασίας με το όνομα ConnectWise Control (fka ScreenConnect) και γενικά δεν υπήρχε τίποτα πολύ ασυνήθιστο για την αλυσίδα μόλυνσης.

Ωστόσο, οι ερευνητές παρατήρησαν ότι μόλις βρεθεί σε έναν από τους διακομιστές βάσεων δεδομένων των Windows του θύματος, το ransomware προσπάθησε να δημιουργήσει ένα αντίγραφο των δεδομένων και έπειτα να το στείλει στον εξυπηρετητή Command & Control (C & C) των απατεώνων. Μετά από αυτό, προσπάθησε να προωθήσει περαιτέρω το δίκτυο, και τελικά ανέπτυξε την ενότητα κρυπτογράφησης αρχείων.

Με άλλα λόγια, το ransomware της Zeppelin προσπάθησε να κλέψει τα δεδομένα της εταιρείας πριν την κλειδώσει και κρατώντας το για λύτρα. Σύμφωνα με τον Κατανίνης Τσιμπάνου του ZDNet, αυτό απέχει πολύ από το μοναδικό στέλεχος ransomware που χρησιμοποιεί τέτοιες τακτικές. Είπε ότι οι επιτιθέμενοι που χρησιμοποιούν δείγματα λαβυρίνθου, επαναληπτικού ελέγχου και ριψοκίνδυνου έχουν επίσης ασχοληθεί με παρόμοιες δραστηριότητες. Αλλά γιατί αποφάσισαν ξαφνικά ότι αυτή είναι μια καλή ιδέα;

Ένας πιο αξιόπιστος μηχανισμός αποκατάστασης

Αν το σκεφτείτε, για τους χάκερς, κλέβοντας τα αρχεία πριν τα κρυπτογραφήσετε και ζητώντας λύτρα, έχει πολύ νόημα. Πραγματικά διατρέχουν τον κίνδυνο να προκαλέσουν καχυποψία προσπαθώντας να απομακρύνουν πολλά δεδομένα, αλλά η πιθανότητα να πιαστούν συνήθως δεν είναι τόσο υψηλή. Και όταν ρίξετε μια ματιά στα πλεονεκτήματα που προσφέρει το πρόσθετο βήμα, θα αρχίσετε να αναρωτιέστε γιατί δεν το σκέφτηκαν νωρίτερα.

Σε μια τακτική επίθεση ransomware, όταν το θύμα αποφασίσει να πληρώσει τα λύτρα, στέλνουν bitcoins στο πορτοφόλι των απατεώνων, και σε αντάλλαγμα, περιμένουν ένα πρόγραμμα που αποκρυπτογραφεί τα κλειδωμένα αρχεία. Σε ορισμένες περιπτώσεις, οι απατεώνες απλά παίρνουν τα χρήματα και τρέχουν, αλλά υπάρχουν αρκετοί φορείς εκμετάλλευσης ransomware που έχουν την πραγματική πρόθεση να δώσουν στα θύματα τα δεδομένα τους πίσω μόλις λάβουν την πληρωμή. Πρέπει όμως να γράψουν τους δικούς τους αποκρυπτογράφους, όμως, δυστυχώς, μερικές φορές κάνουν λάθη.

Έχουμε ακούσει πολλές ιστορίες ανθρώπων που έχασαν δεδομένα παρά την καταβολή λύτρα εξαιτίας ενός ελαττωματικού εργαλείου αποκρυπτογράφησης. Οι χρήστες είναι αυτοί που χάνουν χρήματα και στοιχεία, αλλά ο αντίκτυπος είναι επίσης αρνητικός για τους απατεώνες, οι οποίοι δεν καταλήγουν να φαίνονται πολύ αξιόπιστοι και ως εκ τούτου είναι λιγότερο πιθανό να πληρώσουν από τα μελλοντικά θύματα.

Αν όμως οι χάκερ έχουν αντίγραφο των μη κρυπτογραφημένων δεδομένων, μπορούν απλώς να το στείλουν πίσω στα θύματα μετά την πληρωμή και να εξασφαλίσουν ότι τα πράγματα θα επανέλθουν στο φυσιολογικό σχετικά ανώδυνα.

Σας παρακαλώ, αν το θύμα έχει ένα αντίγραφο ασφαλείας, όλα αυτά θα ήταν άσκοπο. Εκτός αν φυσικά οι χάκερ απειλούν να διαρρεύσουν τα δεδομένα εάν δεν καταβληθεί το λύτρο.

Περισσότερη μόχλευση εκβιασμού

Όπως αναφέρθηκε ήδη, συχνά, οι στόχοι είναι μεγάλοι οργανισμοί. Οι χάκερ δεν μπορούν να κλέψουν τις φωτογραφίες διακοπών ή τις ενοχλητικές αυτοεξυπηρέτησης από αυτούς, αλλά μπορούν να απομακρύνουν εμπορικά μυστικά και άλλες εξαιρετικά πολύτιμες πληροφορίες. Και όταν η επιτιθέμενη εταιρεία λέει ότι δεν θα πληρώσει επειδή έχει αντίγραφα ασφαλείας, οι απατεώνες μπορούν εύκολα να την απειλήσουν να διαρρεύσει όλα τα ευαίσθητα δεδομένα.

Σύμφωνα με την έκθεση του ZDNet, οι φορείς εκμετάλλευσης ransomware έχουν ήδη χρησιμοποιήσει τις κλεμμένες βάσεις δεδομένων ως δεύτερο σημείο εκβιασμού και οι απατεώνες που τρέχουν το ransomware Maze δημιούργησαν ακόμη έναν ιστότοπο στον οποίο απαριθμούν όλες τις εταιρείες που αρνήθηκαν να πληρώσουν τα λύτρα και, στη συνέχεια, η ομάδα.

Πρέπει να πούμε ότι δεν είναι όλα τα πληρώματα hacking ικανά να αποσύρουν μια τέτοια καταστροφική επίθεση. Εάν θέλουν να κλέψουν και να κρυπτογραφήσουν πληροφορίες από πολλούς διαφορετικούς χρήστες ή εταιρείες, θα χρειαστούν μια μεγάλη υποδομή C & C, η οποία θα μπορούσε να είναι δαπανηρή για τη δημιουργία και τη συντήρησή τους. Όσοι καταφέρνουν να βρουν τη σωστή ρύθμιση, ωστόσο, θα έχουν ένα σαφές πλεονέκτημα.

December 19, 2019

Αφήστε μια απάντηση