Ransomware-operatører kan nå stjele dataene dine før de krypterer dem

Zeppelin Ransomware Steals Data Before Encryption

Ransomware har bevist gang på gang å være et av de kraftigste våpnene i nettkriminalkretsenes arsenal. Til å begynne med vil hackere måtte opprette sin egen familie med filkrypterende malware, som ikke akkurat er en tur i parken, men akkurat nå er det enkelt å leie eller laste ned gratis-å-bruke stammer. De fleste brukere er fremdeles ikke helt klar over farene som lurer rundt hvert hjørne av internett, noe som betyr at infeksjonsratene vanligvis er ganske gode, og den samme mangelen på bevissthet gjør at mange ikke holder regelmessig sikkerhetskopi av filene sine, som, på sin side har en positiv effekt på balansen i skurkenes cryptocurrency lommebøker.

Det er en velprøvd forretningsmodell som har fungert for mange. Dette betyr ikke at trusselen ikke utvikler seg. Langt fra det, faktisk.

I det siste ble ransomware brukt mest i spray-and-be-kampanjer primært rettet mot hjemmebrukere. De siste månedene har imidlertid nettkriminelle innsett at overskuddet fra å treffe store organisasjoner kan være større, og fokuset har forskjøvet noe. Cybersecurity-eksperter har nå sett en annen, mer bekymringsfull trend.

Zeppelin ransomware stjeler organisasjoners data før de krypteres

I begynnelsen av desember var forskere fra Morphisec vitne til et angrep på en kunde hos dem som jobber i eiendomssektoren. Etter en nærmere undersøkelse innså de at hackerne prøvde å smitte selskapet med Zeppelin ransomware, den siste versjonen av VegaLocker ransomware-as-a-service-familien. Angriperne utnyttet et eksternt skrivebordsprogram under navnet ConnectWise Control (fka ScreenConnect), og generelt var det ingenting for uvanlig med infeksjonskjeden.

Forskerne la imidlertid merke til at når den først fant seg på en av offerets Windows-databaseserver, prøvde løseprogrammet å lage en kopi av dataene og deretter sende dem til skurkenes Command & Control (C&C) server. Etter det prøvde den å forplante seg lenger ned i nettverket, og den distribuerte til slutt filkrypteringsmodulen.

Med andre ord prøvde Zeppelin løseprogrammet å stjele selskapets data før de låste dem og holdt dem for løsepenger. I følge ZDNets Catalin Cimpanu er dette langt fra den eneste ransomware-belastningen som bruker slike taktikker. Han sa at angripere som bruker Maze, REvil og Snatch ransomware-prøvene også har engasjert seg i lignende aktiviteter. Men hvorfor har de plutselig bestemt seg for at dette er en god idé?

En mer pålitelig gjenopprettingsmekanisme

Hvis du tenker på det, for hackere, det er mye fornuftig å stjele filene før de krypterer dem og kreve løsepenger. De risikerer faktisk å øke mistenksomhet mens de prøver å filtrere ut mye data, men sannsynligheten for å bli fanget er vanligvis ikke så høy. Og når du tar en titt på fordelene det ekstra trinnet gir, vil du til og med begynne å lure på hvorfor de ikke tenkte på det tidligere.

I et vanlig ransomware-angrep, når offeret bestemmer seg for å betale løsepenger, sender de bitcoins til skurkenes lommebok, og til gjengjeld forventer de et program som dekrypterer de låste filene. I noen tilfeller tar skurkene bare pengene og løper, men det er nok av ransomware-operatører som virkelig har til hensikt å gi ofrene sine data tilbake når de har mottatt betalingen. De trenger imidlertid å skrive sine egne dekryptere, og dessverre gjør de noen ganger feil.

Vi har hørt mange historier om mennesker som har mistet data til tross for at de betalte løsepenger på grunn av et feilaktig dekrypteringsverktøy. Brukerne er de som taper penger og data, men innvirkningen er også negativ for kjeltringene, som ikke ender opp med å se veldig pålitelige og derfor mindre sannsynlig vil få betalt av fremtidige ofre.

Hvis hackerne har en kopi av de ukrypterte dataene, kan de imidlertid bare sende dem tilbake til ofrene etter betalingen og sikre at ting relativt smertefritt vil komme tilbake til det normale.

Husk at hvis offeret har en sikkerhetskopi, ville alt dette være meningsløst. Med mindre naturligvis hackerne truer med å lekke dataene hvis løsepengene ikke blir betalt.

Mer utpressing

Som vi allerede nevnte, er målene ofte store organisasjoner. Hackere kan ikke stjele feriebilder eller pinlige selfies fra dem, men de kan filtrere handelshemmeligheter og annen ekstremt verdifull informasjon. Og når det angrepne selskapet sier at det ikke vil betale fordi det har sikkerhetskopier, kan kjeltringene lett true med å lekke alle sensitive data.

I følge ZDNets rapport har ransomware-operatører allerede brukt de stjålne databasene som et annet utpressingspunkt, og skurkene som kjører Maze-ransomware har til og med opprettet et nettsted der de lister opp alle selskaper som nektet å betale løsepenger og i etterkant fikk dataene deres utsatt av gruppen.

Det må sies at ikke alle hackingmannskaper er i stand til å trekke av et så ødeleggende angrep. Hvis de ønsker å stjele og kryptere informasjon fra mange forskjellige brukere eller selskaper, vil de trenge en stor C & C-infrastruktur som kan være dyr å installere og vedlikeholde. De som klarer å komme med riktig oppsett vil imidlertid ha en klar fordel.

December 19, 2019

Legg igjen et svar