A Ransomware operátorok most ellophatják az adatait, mielőtt titkosítanák őket
A Ransomware újra és újra bebizonyította, hogy az egyik legerősebb fegyver a számítógépes bűnözők arzenáljában. A hackereknek kezdetben létre kellett volna hozniuk a saját fájlokat titkosító malware családjukat, amely nem pontosan a séta a parkban, de jelenleg ingyenesen használható törzsek kölcsönzése vagy letöltése egyszerű. A legtöbb felhasználó még mindig nem ismeri teljesen az Internet minden sarkát körülölelő veszélyeket, ami azt jelenti, hogy a fertőzések aránya általában nagyon jó, és ugyanakkor a tudatosság hiánya azt jelenti, hogy sokan nem tartanak rendszeres biztonsági másolatot fájljaikról, amelyek viszont pozitív hatást gyakorol a csúnya kriptovaluta pénztárcájának egyensúlyára.
Ez egy kipróbált és bevált üzleti modell, amely soknak működött. Ez azonban nem azt jelenti, hogy a veszély nem alakul ki. Valójában messze tőle.
A múltban az ransomware-t főként a spray-and-pray kampányokban használták, elsősorban otthoni felhasználóknak. Az elmúlt hónapokban azonban a számítógépes bűnözők rájöttek, hogy a nagy szervezetekkel való ütés nagyobb lehet, és a hangsúly kissé eltolódott. A kiberbiztonsági szakértők most már észleltek egy másik, aggasztóbb tendenciát.
Table of Contents
A Zeppelin ransomware titkosítás előtt ellopja a szervezetek adatait
December elején a Morphisec kutatói támadást tapasztaltak az ingatlanszektorban dolgozó ügyfelek ellen. Egy közelebbi vizsgálat után rájöttek, hogy a hackerek megpróbálják megfertőzni a társaságot a Zeppelin ransomware-vel, a VegaLocker ransomware-as-a-service család legújabb verziójával. A támadók távoli asztali alkalmazást használtak, a ConnectWise Control (fka ScreenConnect) néven, és általában a fertőzésláncban semmi sem volt szokatlan.
A kutatók azonban észrevették, hogy amint az áldozatok egyik Windows adatbázis-kiszolgálóján találta magát, a ransomware megpróbálta elkészíteni az adatok egy példányát, majd elküldte azokat a csalók Command & Control (C&C) szerveréhez. Ezután megpróbálta továbbterjedni a hálózaton, és végül telepítette a fájl titkosító modult.
Más szavakkal, a Zeppelin váltságdíjszoftver megpróbálta ellopni a cég adatait, mielőtt lezárta, és váltságdíjazás céljából megtartotta volna. A ZDNet Catalin Cimpanu szerint ez messze nem az egyetlen ransomware törzs, amely ilyen taktikát alkalmaz. Azt mondta, hogy a Maze, REvil és Snatch ransomware mintákat használó támadók szintén hasonló tevékenységeket folytattak. De miért hirtelen úgy döntöttek, hogy ez jó ötlet?
Megbízhatóbb helyreállítási mechanizmus
Ha gondolkodik erről, a hackerek számára nagyon értelmes a fájlok ellopása, mielőtt titkosításukra és váltságdíjat igényelnek. Valójában fennáll annak a veszélye, hogy felmerül a gyanú, miközben sok adat kiszűrésére próbálkozik, de a becsukódás valószínűsége általában nem olyan magas. És ha átnézi a további lépések előnyeit, akkor még azon tűnhet, hogy miért nem gondoltak erre korábban.
Rendszeres ransomware támadáskor, amikor az áldozat úgy dönt, hogy megfizeti a váltságdíjat, bitcoineket küldnek a csónak pénztárcájához, és cserébe egy programra számítanak, amely dekódolja a lezárt fájlokat. Bizonyos esetekben a csalók csak elveszik a pénzt és elfutnak, de rengeteg olyan ransomware operátor van, akiknek valódi szándéka az, hogy az áldozatoknak visszaadják adataikat, miután megkapták a fizetést. Meg kell írni a saját dekódolójukat, bár sajnos hibákat követnek el.
Rengeteg történetet hallottunk azokról az emberekről, akik egy hibás visszafejtő eszköz miatt elveszítették az adatokat annak ellenére, hogy kifizették a váltságdíjat. A felhasználók veszítik el a pénzt és az adatokat, de negatív hatással vannak a csalókra is, akik végül nem nagyon megbízhatónak tűnnek, és ezért kevésbé valószínű, hogy a jövőbeli áldozatok fizetnek.
Ha azonban a hackerek rendelkeznek a titkosítatlan adatok másolatával, akkor egyszerűen visszafizethetik azokat az áldozatoknak a fizetés után, és biztosíthatják, hogy a dolgok viszonylag fájdalommentesen normalizálódjanak.
Ne feledje, ha az áldozatnak van tartaléka, mindez értelmetlen lenne. Természetesen, ha a hackerek nem fenyegetik az adatok kiszivárogtatását, ha a váltságdíjat nem fizetik meg.
Több zsarolás tőkeáttétel
Mint már említettük, gyakran a célok nagy szervezetek. A hackerek nem lophatnak tőlük ünnepi fotókat vagy zavaró önportrék, ám az üzleti titkokat és egyéb rendkívül értékes információkat kiszűrhetik. És amikor a megtámadott cég azt mondja, hogy nem fog fizetni, mert biztonsági másolatai vannak, a csalók könnyen fenyegethetnek, hogy kiszivárogtassák az összes érzékeny adatot.
A ZDNet jelentése szerint a ransomware-üzemeltetők már használták az ellopott adatbázisokat második zsarolási pontként, és a Maze ransomware-t futtató csalók még egy weboldalt is létrehoztak, amelyben felsorolják azokat a vállalatokat, amelyek megtagadták a váltságdíjat, és később adataikat a csoport.
Azt kell mondani, hogy nem minden feltörő legénység képes elhárítani egy ilyen pusztító támadást. Ha sok különböző felhasználótól vagy társaságtól akarnak ellopni és titkosítani információkat, akkor nagy C&C infrastruktúrára van szükségük, amelynek felállítása és karbantartása költséges lehet. Azok azonban, akiknek sikerül felállniuk a helyes beállításokkal, határozott előnyt élveznek.