„Ransomware“ operatoriai dabar gali pavogti jūsų duomenis prieš juos užšifruodami

Zeppelin Ransomware Steals Data Before Encryption

„Ransomware“ ne kartą įrodė, kad yra vienas galingiausių ginklų kibernetinių nusikaltėlių arsenale. Iš pradžių įsilaužėliams reikėjo sukurti savo failų šifravimo kenkėjiškų programų šeimą, kuri nėra visiškai tinkama pasivaikščiojimui po parką, tačiau šiuo metu yra lengva išsinuomoti ar atsisiųsti nemokamai naudojamų padermių. Daugelis vartotojų vis dar nevisiškai žino apie pavojus, kylančius aplink kiekvieną interneto kampelį, o tai reiškia, kad užkrėtimo dažnis paprastai yra gana geras, o tas pats supratimo stoka reiškia, kad daugelis netvarko reguliarių savo failų atsarginių kopijų, savo ruožtu daro teigiamą poveikį sukčių kriptovaliutų piniginių balansui.

Tai jau išbandytas verslo modelis, dirbęs daugeliui. Vis dėlto tai nereiškia, kad grėsmė nekyla. Tiesą sakant, toli nuo jo.

Anksčiau išpirkos programinė įranga dažniausiai būdavo naudojama purškimo ir maldavimo kampanijose, pirmiausia skirtose namų vartotojams. Tačiau pastaraisiais mėnesiais kibernetiniai nusikaltėliai suprato, kad pelnas, gautas iš didelių organizacijų, gali būti didesnis, ir dėmesys šiek tiek pasikeitė. Kibernetinio saugumo ekspertai pastebėjo kitą, labiau nerimą keliančią tendenciją.

„Zeppelin“ ransomware vagia organizacijų duomenis prieš juos užšifruodamas

Gruodžio pradžioje „Morphisec“ tyrėjai buvo išpuoliai prieš jų klientus, dirbančius nekilnojamojo turto sektoriuje. Po išsamesnio tyrimo jie suprato, kad įsilaužėliai bandė užkrėsti kompaniją „Zeppelin“ išpirkos programine įranga, naujausia „VegaLocker“ išpirkos programos „kaip paslauga“ versija. Užpuolikai naudojo nuotolinio darbalaukio programą pavadinimu „ConnectWise Control“ („fka ScreenConnect“) ir apskritai infekcijos grandinėje nebuvo nieko per daug neįprasto.

Tačiau tyrėjai pastebėjo, kad, atsidūrusi viename iš aukos „Windows“ duomenų bazės serverių, išpirkos programinė įranga bandė sukurti duomenų kopiją ir nusiųsti juos sukčių „Command & Control“ (C&C) serveriui. Po to jis mėgino plisti toliau tinkle ir galiausiai įdiegė failų šifravimo modulį.

Kitaip tariant, „Zeppelin“ išpirkos programa bandė pavogti įmonės duomenis prieš užrakindama ir laikydama už išpirką. „ ZDNet“ vadovo Catalino Cimpanu teigimu, tai toli gražu nėra vienintelė išpirkos programos padermė, kurioje naudojama tokia taktika. Jis sakė, kad užpuolikai, naudojantys „Maze“, „REvil“ ir „Snatch“ išpirkos programų pavyzdžius, taip pat užsiima panašia veikla. Bet kodėl jie staiga nusprendė, kad tai gera idėja?

Patikimesnis atkūrimo mechanizmas

Jei galvojate apie tai, įsilaužėliams pavogti failus prieš juos užšifruoti ir reikalauti išpirkos turi daug prasmės. Bandant išfiltruoti daugybę duomenų, iš tiesų kyla rizika, kad gali kilti įtarimų, tačiau paprastai tikimybė susigaudyti nėra tokia didelė. Pažvelgę į privalumus, kuriuos suteikia papildomas žingsnis, net imsite domėtis, kodėl jie anksčiau apie tai negalvojo.

Įprastinės išpirkos programos atakos metu, kai auka nusprendžia sumokėti išpirką, jie siunčia bitkoinus į sukčių piniginę, o mainais jie tikisi programos, kuri iššifruos užrakintus failus. Kai kuriais atvejais sukčiai tiesiog ima pinigus ir bėga, tačiau yra daugybė išpirkos programų operatorių, kurie iš tikrųjų ketina grąžinti aukoms savo duomenis, kai tik gaus mokėjimą. Vis dėlto jie turi rašyti savo iššifruoklius, ir, deja, kartais daro klaidų.

Esame girdėję daugybę žmonių, praradusių duomenis, nepaisant to, kad sumokėjo išpirką dėl sugedusio dešifravimo įrankio, istorijų. Vartotojai praranda pinigus ir duomenis, tačiau neigiamas poveikis yra ir sukčiams, kurie nesibaigia patikimi ir todėl mažiau linkę mokėti būsimas aukas.

Tačiau jei įsilaužėliai turi nešifruotų duomenų kopijas, jie gali tiesiog atsiųsti juos aukoms sumokėję ir įsitikinę, kad viskas susitvarkys normaliai palyginti neskausmingai.

Atminkite, jei auka turi atsarginę kopiją, visa tai būtų beprasmiška. Nebent, žinoma, hakeriai grasins nutekinti duomenis, jei nebus sumokėta už išpirką.

Daugiau šantažo svertų

Kaip jau minėjome, dažnai tikslai yra didelės organizacijos. Piratai negali iš jų pavogti atostogų nuotraukų ar nepatogių nuotraukų, bet jie gali išnaikinti komercines paslaptis ir kitą ypač vertingą informaciją. Kai užpulta įmonė sako, kad nemokės, nes turi atsargines kopijas, sukčiai gali lengvai grasinti, kad ji nutekins visus neskelbtinus duomenis.

Remiantis „ZDNet“ ataskaita, „ransomware“ operatoriai pavogtas duomenų bazes jau panaudojo kaip antrą turto prievartavimo tašką, o „Maze“ išpirkos programas valdantys sukčiai netgi sukūrė interneto svetainę, kurioje išvardija visas įmones, kurios atsisakė mokėti išpirką, o vėliau jų duomenys buvo paviešinti. grupė.

Reikia pasakyti, kad ne visi įsilaužėlių ekipažai sugeba atitraukti tokį destruktyvų išpuolį. Jei jie nori pavogti ir užšifruoti daugelio skirtingų vartotojų ar kompanijų informaciją, jiems reikės didelės C&C infrastruktūros, kurią sukurti ir prižiūrėti gali būti brangu. Tie, kuriems pavyks sugalvoti teisingą sąranką, vis dėlto turės neabejotiną pranašumą.

December 19, 2019

Palikti atsakymą