Lunavara on pahatahtliku tarkvara tüüp, mille eesmärk on lukustada arvutis või süsteemis olevad failid kuni lunaraha tasumiseni. Üks esimesi dokumenteeritud lunaraha oli 1989. aasta PC Cyborg - see nõudis lukustatud failide dekrüpteerimiseks napp 189 -dollarist lunaraha.
Arvutitehnoloogia on alates 1989. aastast kaugele jõudnud ning koos sellega on arenenud ka lunavara, mille tulemuseks on keerulised ja tugevad variandid, näiteks WastedLocker. Niisiis, kuidas WastedLocker töötab? Keda see on mõjutanud? Ja kuidas saate oma seadmeid kaitsta?
Mis on WastedLocker ja kuidas see töötab?
Esmakordselt 2020. aasta alguses avastatud WastedLockerit haldab kurikuulus häkkerite rühmitus Evil Corp, mis on tuntud ka kui INDRIK SPIDER või Dridexi jõuk ja millel on suure tõenäosusega sidemed Venemaa luureagentuuridega.
Ameerika Ühendriikide rahandusministeeriumi välisvarade kontrolli büroo kehtestas sanktsioonid Evil Corp vastu 2019 ja justiitsministeerium esitas süüdistuse oma väidetavale juhile Maksim Yakubetsile, mis on sundinud gruppi taktikat muutma.
WastedLockeri rünnakud algavad tavaliselt SocGholishiga, kaugjuurdepääsu troojaga (RAT), mis jäljendab brauseri ja Flashi värskendusi, et meelitada sihtmärk pahatahtlikke faile alla laadima.
SEOTUD: Mis on kaugjuurdepääsu trooja?
Kui sihtmärk on võltsvärskenduse alla laadinud, krüpteerib WastedLocker tõhusalt kõik nende arvutis olevad failid ja lisab neile sõna "raisatud", mis näib olevat noogutus Interneti -meemidele, mis on inspireeritud Grand Theft Auto videomängust seeria.
Nii et näiteks fail, mille nimi oli algselt "muo.docx", ilmuks ohustatud masinasse kui "muo.docx.wasted".
Failide lukustamiseks kasutab WastedLocker täiustatud krüptimisstandardi (AES) ja Rivest-Shamir-Adlemani (RSA) krüptimisalgoritmid, mis muudab dekrüpteerimise praktiliselt võimatuks ilma kurjuseta Corp privaatvõti.
AES -i krüptimisalgoritmi kasutavad finantsasutused ja valitsused - näiteks riiklik julgeolekuagentuur (NSA) kasutab seda ülisalajase teabe kaitsmiseks.
Nimetatud kolme Massachusettsi Tehnoloogiainstituudi (MIT) teadlase järgi, kes kirjeldasid seda esmakordselt avalikult ajakirjas 1970ndatel on RSA krüptimisalgoritm tunduvalt aeglasem kui AES ja seda kasutatakse enamasti väikeste koguste krüptimiseks andmed.
WastedLocker jätab iga krüpteeritud faili eest lunaraha ja suunab ohvri ründajatega ühendust võtma. Sõnum sisaldab tavaliselt Protonmail, Eclipso või Tutanota e -posti aadressi.
Lunaraha märkmed on tavaliselt kohandatud, mainivad sihtorganisatsiooni nime järgi ja hoiatavad ametivõimudega ühendust võtmise või kontaktmeilide jagamise eest kolmandate osapooltega.
Suurte ettevõtete sihtimiseks mõeldud pahavara nõuab tavaliselt kuni 10 miljoni dollari suurust lunaraha.
WastedLockeri kõrgetasemelised rünnakud
Juunis 2020, Symantec avastas 31 WastedLockeri rünnakut USA-s asuvate ettevõtete vastu. Valdav enamus sihtorganisatsioone olid suured leibkonnanimed ja 11 Fortune 500 ettevõtet.
Lunavara eesmärk oli erinevate sektorite ettevõtted, sealhulgas tootmine, infotehnoloogia ning meedia ja telekommunikatsioon.
Evil Corp rikkus sihitud ettevõtete võrgustikke, kuid Symantec suutis häkkeritel takistada WastedLockeri kasutuselevõtmist ja andmete lunaraha hoidmist.
Tegelik rünnakute koguarv võib olla palju suurem, kuna lunavara kasutati kümnete populaarsete ja õigustatud uudistesaitide kaudu.
Ütlematagi selge, et miljardeid dollareid väärt ettevõtetel on tipptasemel kaitse, mis räägib palju sellest, kui ohtlik WastedLocker on.
Samal suvel kasutas Evil Corp WastedLockerit Ameerika GPS- ja fitness-tracker-ettevõtte Garmini vastu, mille aastane tulu on hinnanguliselt üle 4 miljardi dollari.
Iisraeli küberturbeettevõttena Votiro märkis toona, et rünnak halvas Garmini. See häiris paljusid ettevõtte teenuseid ning avaldas isegi mõju kõnekeskustele ja mõnedele tootmisliinidele Aasias.
Väidetavalt maksis Garmin oma süsteemidele juurdepääsu taastamiseks 10 miljoni dollari suuruse lunaraha. Ettevõttel kulus teenuste käivitamiseks päevi, mis põhjustas arvatavasti suuri rahalisi kahjusid.
Kuigi Garmin arvas ilmselt, et lunaraha tasumine oli parim ja tõhusam viis olukorra lahendamiseks, on oluline seda märkida et küberkurjategijaid ei tohiks kunagi usaldada - mõnikord pole neil mingit stiimulit pärast lunaraha saamist dekrüpteerimisvõtit pakkuda makse.
Üldiselt on parim viis küberrünnaku korral viivitamatult ametivõimudega ühendust võtta.
Lisaks kehtestavad valitsused kogu maailmas häkkerirühmade vastu sanktsioone ja mõnikord ka neid sanktsioone kehtivad ka üksikisikute suhtes, kes esitavad lunaraha või soodustavad seda, seega on sellega seotud ka juriidilised riskid kaaluma.
Mis on Hades Variant Ransomware?
Detsembris 2020 märkasid turvauurijad uut lunavara varianti nimega Hades (mitte segi ajada 2016. aasta Hades Lockeriga, mida tavaliselt kasutatakse MS Wordi kujul e -posti teel manus).
Analüüs CrowdStrike leidis, et Hades on sisuliselt WastedLockeri 64-bitine kompileeritud variant, kuid tuvastas nende kahe pahavaraohu vahel mitu peamist erinevust.
Näiteks erinevalt WastedLockerist ei jäta Hades iga krüpteeritud faili eest lunaraha, vaid loob ühe lunaraha. Ja see salvestab põhiteabe krüptitud failidesse, selle asemel, et seda lunaraha märkuses salvestada.
Hades variant ei jäta kontaktandmeid; see suunab ohvrid hoopis Tor -saidile, mis on iga sihtmärgi jaoks kohandatud. Tori sait võimaldab ohvril ühe faili tasuta dekrüpteerida, mis on ilmselgelt Evil Corpi viis näidata, et selle dekrüpteerimisvahendid tegelikult töötavad.
Hades on sihinud peamiselt suuri USA -s asuvaid organisatsioone, mille aastane tulu ületab 1 dollarit miljardit ning selle kasutuselevõtt tähistas järjekordset Evil Corpi loomingulist katset kaubamärgi ümber nimetada ja sellest kõrvale hiilida sanktsioonid.
Kuidas kaitsta WastedLockeri eest
Küberrünnakute arv kasvab, investeerides lunavara kaitsmise tööriistad on absoluutne kohustus. Samuti on hädavajalik hoida tarkvara kõikides seadmetes ajakohasena, et vältida küberkurjategijate ärakasutamist teadaolevatest turvaaukudest.
Keerukad lunavara variandid, nagu WastedLocker ja Hades, saavad külgsuunas liikuda, mis tähendab, et nad saavad juurdepääsu kõikidele võrgu andmetele, sealhulgas pilvesalvestusele. Seetõttu on võrguühenduseta varukoopia säilitamine parim viis kaitsta olulisi andmeid sissetungijate eest.
Kuna töötajad on rikkumiste kõige levinum põhjus, peaksid organisatsioonid investeerima aega ja ressursse töötajate põhiturvatavade õpetamisse.
Lõppkokkuvõttes on Zero Trust turvamudeli rakendamine vaieldamatult parim viis organisatsiooni tagamiseks on kaitstud küberrünnakute, sealhulgas kurjategijate Evil Corp ja teiste riigi toetatavate häkkerite eest rühmad.
Kas soovite oma äri küberkurjategijate eest kaitsta? VPN-id on suurepärased, kuid need ei pruugi olla nii tõhusad kui tarkvara määratletud perimeetritega ZTN-id.
Loe edasi
- Turvalisus
- Lunavara
- Turvalisus Internetis
- Pahavara
- Andmete turvalisus
Damir on vabakutseline kirjanik ja reporter, kelle töö keskendub küberturvalisusele. Lisaks kirjutamisele naudib ta lugemist, muusikat ja filmi.
Telli meie uudiskiri
Liituge meie uudiskirjaga, et saada tehnilisi näpunäiteid, ülevaateid, tasuta e -raamatuid ja eksklusiivseid pakkumisi!
Tellimiseks klõpsake siin
