ランサムウェアオペレーターは、データを暗号化する前に盗むことができるようになりました

Zeppelin Ransomware Steals Data Before Encryption

ランサムウェアは、サイバー犯罪者の武器の中で最も強力な武器の1つであることが何度も証明されています。最初は、ハッカーはファイル暗号化マルウェアの独自のファミリーを作成する必要がありますが、これは公園を歩くだけではありませんが、現在、無料で使用できる株をレンタルまたはダウンロードするのは簡単です。ほとんどのユーザーは、インターネットの隅々に潜む危険性をまだ十分に認識していません。つまり、感染率は通常かなり良好であり、同じ認識不足は多くのユーザーがファイルの定期的なバックアップを保持しないことを意味します。また、詐欺師の暗号通貨ウォレットの残高にプラスの効果があります。

これは、多くの人に有効な、実証済みのテスト済みのビジネスモデルです。ただし、これは脅威が進化していないという意味ではありません。実際のところ、それとはほど遠い。

過去に、ランサムウェアは主にホームユーザーを対象としたスプレーアンドプレイキャンペーンで主に使用されていました。ただし、ここ数か月で、サイバー犯罪者は、大規模な組織を攻撃することで得られる利益が大きくなる可能性があることを認識しており、焦点が多少変わっています。サイバーセキュリティの専門家は、もう一つのより心配な傾向を発見しました。

Zeppelinランサムウェアは、組織のデータを暗号化する前に盗みます

12月上旬、Morphisecの研究者は不動産部門で働いている彼らの顧客に対する攻撃を目撃しまし 。綿密な調査の結果、彼らはハッカーがVegaLockerランサムウェア-サービスとしてのファミリーの最新バージョンであるZeppelinランサムウェアを会社に感染させようとしていることに気付きました。攻撃者は、ConnectWise Control(fka ScreenConnect)という名前のリモートデスクトップアプリケーションを悪用していましたが、一般に、感染チェーンについて異常なことはありませんでした。

しかし、研究者は、被害者のWindowsデータベースサーバーの1つに自身が見つかると、ランサムウェアがデータのコピーを作成し、それを詐欺師のCommand&Control(C&C)サーバーに送信しようとしたことに気付きました。その後、ネットワークをさらに伝播しようとし、最終的にファイル暗号化モジュールを展開しました。

言い換えれば、Zeppelinランサムウェアは、会社のデータを盗み出してロックし、身代金のために保持しようとしました。 ZDNetのCatalin Cimpanuによると、これはそのような戦術を採用する唯一のランサムウェア株とはほど遠いものです。彼は、Maze、REvil、およびSnatchランサムウェアのサンプルを使用する攻撃者も同様の活動に従事していると述べました。しかし、なぜ彼らはこれが良いアイデアだと突然決めたのですか?

より信頼性の高い復元メカニズム

ハッカーにとって、暗号化する前にファイルを盗み、身代金を要求するのは理にかなっています。彼らは確かに、多くのデータを盗み出そうとしている間に疑念を高めるリスクを負っていますが、通常、捕まる可能性はそれほど高くありません。そして、追加のステップがもたらす利点を見ると、なぜ彼らがそれを以前に考えなかったのか疑問に思うことさえあります。

通常のランサムウェア攻撃では、被害者が身代金の支払いを決定すると、ビットコインを詐欺師の財布に送り、その代わりに、ロックされたファイルを解読するプログラムを期待します。場合によっては、詐欺師はお金を取り、実行するだけですが、支払いを受け取ったら被害者にデータを戻すという真の意図を持つランサムウェアオペレーターがたくさんあります。ただし、独自の暗号解読プログラムを作成する必要がありますが、残念ながら、間違いを犯すことがあります。

解読ツールの欠陥のために身代金を支払ったにもかかわらずデータを失った人々の話をたくさん聞きました。ユーザーはお金とデータを失いますが、その影響は詐欺師にとってもマイナスです。詐欺師は非常に信頼できるようには見えないため、将来の被害者から支払われる可能性は低くなります。

ただし、ハッカーが暗号化されていないデータのコピーを持っている場合、支払い後にそれを被害者に単純に送り返すことができ、物事が比較的簡単に正常に戻ることを保証できます。

被害者がバックアップを持っている場合、これはすべて無意味です。もちろん、身代金が支払われない場合、ハッカーがデータを漏洩すると脅迫しない限り。

脅迫のさらなる活用

すでに述べたように、多くの場合、ターゲットは大規模な組織です。ハッカーは休日の写真や恥ずかしい自撮り写真を盗むことはできませんが、企業秘密やその他の非常に貴重な情報を盗み出すことができます。そして、攻撃を受けた会社がバックアップを持っているために支払いをしないと言ったとき、詐欺師は簡単にすべての機密データを漏らすと脅かすことができます。

ZDNetのレポートによると、ランサムウェアオペレーターは既に盗まれたデータベースを第2の強要ポイントとして使用しており、Mazeランサムウェアを実行している詐欺師は、身代金の支払いを拒否したすべての企業をリストアップしたWebサイトを作成し、その後にデータを公開しましたグループ。

すべてのハッキングクルーがそのような破壊的な攻撃を実行できるわけではないことを言わなければなりません。多くの異なるユーザーまたは企業から情報を盗み、暗号化する場合、セットアップと保守に費用がかかる可能性のある大規模なC&Cインフラストラクチャが必要になります。ただし、正しいセットアップを思いついた人には明確な利点があります。

December 19, 2019

返信を残す