هل أنت مهتم بـ $ 10,000,000،XNUMX،XNUMX؟ هل أنت مستعد لتسليم طاقم Clop ransomware؟

هل أنت مهتم بـ $ 10,000,000،XNUMX،XNUMX؟ هل أنت مستعد لتسليم طاقم Clop ransomware؟

الطابع الزمني: 28 حزيران (يونيو) 2023 الساعة 2:59 ظهرًا
عقدة المصدر: 2737905
by الكاتب الأمن العاري

أحدث رفيعة المستوى مآثر الجرائم الإلكترونية المنسوب إلى طاقم Clop ransomware ليس النوع التقليدي من هجمات برامج الفدية (إذا كانت كلمة "تقليدية" هي الكلمة الصحيحة لآلية ابتزاز تعود إلى عام 1989 فقط).

هجمات برامج الفدية التقليدية هي المكان الذي يتم فيه خلط ملفاتك ، وإخراج عملك تمامًا عن مساره ، وتظهر رسالة تخبرك أن مفتاح فك تشفير بياناتك متاح ...

... مقابل ما هو عادةً مبلغ من المال يسيل له اللعاب.

التطور الإجرامي

كما يمكنك أن تتخيل ، بالنظر إلى ذلك يعود برنامج الفدية إلى الأيام التي سبقت وصول الجميع إلى الإنترنت (وعندما كان لدى الأشخاص المتصلين بالإنترنت سرعات نقل بيانات لا تُقاس بالجيجابت أو حتى ميغا بت في الثانية ، ولكن غالبًا بالكيلوبت فقط) ، كانت فكرة خلط ملفاتك في مكانها خدعة غادرة وفر الوقت.

انتهى المطاف بالمجرمين بالسيطرة الكاملة على بياناتك ، دون الحاجة إلى تحميل كل شيء أولاً ثم الكتابة فوق الملفات الأصلية على القرص.

والأفضل من ذلك بالنسبة للمحتالين ، أنهم يستطيعون تعقب المئات أو الآلاف أو حتى الملايين من أجهزة الكمبيوتر في وقت واحد ، ولا يحتاجون إلى الاحتفاظ بجميع بياناتك على أمل "إعادة بيعها" إليك. (قبل أن يصبح التخزين السحابي خدمة للمستهلكين ، كانت مساحة القرص للنسخ الاحتياطي باهظة الثمن ، ولا يمكن الحصول عليها بسهولة عند الطلب في لحظة.)

ومن المفارقات أن ينتهي الأمر بضحايا برامج الفدية المشفرة للملفات بالعمل كحراس سجن غير راغبين في بياناتهم الخاصة.

يتم ترك ملفاتهم بشكل مغري في متناول اليد ، غالبًا مع أسماء ملفاتهم الأصلية (وإن كان ذلك بامتداد إضافي مثل .locked تمت إضافته في النهاية لفرك الملح في الجرح) ، ولكن لا يمكن فهمه تمامًا للتطبيقات التي عادةً ما تفتحها.

ولكن في عالم الحوسبة السحابية اليوم ، فإن الهجمات الإلكترونية حيث يأخذ محتالو برامج الفدية نسخًا من جميع ملفاتك الحيوية ، أو على الأقل العديد منها ، ليست ممكنة تقنيًا فحسب ، بل إنها شائعة.

فقط لكي أكون واضحًا ، في العديد من الحالات ، إن لم يكن معظمها ، يقوم المهاجمون بترتيب ملفاتك المحلية أيضًا ، لأنهم يستطيعون ذلك.

بعد كل شيء ، يعد تجميع الملفات على آلاف أجهزة الكمبيوتر في وقت واحد بشكل عام أسرع بكثير من تحميلها جميعًا على السحابة.

عادةً ما توفر أجهزة التخزين المحلية نطاقًا تردديًا للبيانات يصل إلى عدة جيجابت في الثانية لكل محرك أقراص لكل كمبيوتر ، في حين أن العديد من شبكات الشركات لديها اتصال إنترنت ببضع مئات من الميجابت في الثانية ، أو حتى أقل ، يتم مشاركتها بين الجميع.

إن خلط جميع ملفاتك على جميع أجهزة الكمبيوتر المحمولة والخوادم الخاصة بك عبر جميع شبكاتك يعني أن المهاجمين يمكنهم ابتزازك على أساس إفلاس عملك إذا لم تتمكن من استعادة النسخ الاحتياطية في الوقت المناسب.

(غالبًا ما يبذل محتالو برامج الفدية اليوم قصارى جهدهم لتدمير أكبر قدر ممكن من البيانات التي تم نسخها احتياطيًا قبل أن يقوموا بجزء هرع الملف.)

تقول الطبقة الأولى من الابتزاز: "ادفع وسنمنحك مفاتيح فك التشفير التي تحتاجها لإعادة بناء جميع ملفاتك في مكانها الصحيح على كل جهاز كمبيوتر ، لذلك حتى إذا كان لديك نسخ احتياطية بطيئة أو جزئية أو لا توجد نسخ احتياطية ، فستكون جاهزًا للعمل مرة أخرى قريبًا ؛ رفض الدفع وستظل عملياتك التجارية في مكانها الصحيح ، ميتة في الماء ".

في الوقت نفسه ، حتى لو كان لدى المحتالين الوقت فقط لسرقة بعض ملفاتك الأكثر إثارة للاهتمام من بعض أجهزة الكمبيوتر الأكثر إثارة للاهتمام لديك ، فإنهم مع ذلك يحصلون على سيف داموكليس ثان ليمسكه فوق رأسك.

تلك الطبقة الثانية من الابتزاز تسير على غرار ، "ادفع ونعد بحذف البيانات المسروقة ؛ نرفض الدفع ولن نكتفي بالتمسك به ، سنذهب معه بجنون ".

عادةً ما يهدد المحتالون ببيع بيانات الجوائز الخاصة بك إلى مجرمين آخرين ، أو لإرسالها إلى المنظمين ووسائل الإعلام في بلدك ، أو لمجرد نشرها علنًا عبر الإنترنت ليتمكن أي شخص وكل شخص من تنزيلها والاستمتاع بها.

ننسى التشفير

في بعض هجمات الابتزاز الإلكتروني ، يقوم المجرمون الذين سرقوا بياناتك بالفعل إما بتخطي جزء تشويش الملف أو عدم قدرتهم على سحبه.

في هذه الحالة ، ينتهي الأمر بالضحايا للابتزاز فقط على أساس إبقاء المحتالين هادئين ، وليس على أساس استعادة ملفاتهم لتشغيل أعمالهم مرة أخرى.

يبدو أن هذا ما حدث في الآونة الأخيرة رفيعة المستوى هجمات موفيت، حيث علمت عصابة Clop ، أو الشركات التابعة لها ، بوجود ثغرة أمنية قابلة للاستغلال في برنامج يعرف باسم MOVEit ...

... هذا فقط يتعلق بتحميل بيانات الشركة وإدارتها ومشاركتها بأمان ، بما في ذلك مكون يتيح للمستخدمين الوصول إلى النظام باستخدام لا شيء أكثر تعقيدًا من متصفحات الويب الخاصة بهم.

لسوء الحظ ، كانت فجوة اليوم صفر موجودة في كود MOVEit المستند إلى الويب ، بحيث أن أي شخص قام بتنشيط الوصول المستند إلى الويب قد كشف عن غير قصد قواعد بيانات ملفات الشركة الخاصة به لأوامر SQL المحقونة عن بعد.

على ما يبدو ، يُشتبه الآن في أن أكثر من 130 شركة قد سُرقت بياناتها قبل اكتشاف MOVEit لليوم صفر وتصحيحه.

يبدو أن العديد من الضحايا هم موظفون تم اختراق تفاصيل رواتبهم وسرقت - ليس لأن صاحب العمل كان أحد عملاء MOVEit ، ولكن لأن معالج كشوف المرتبات الذي استعان به صاحب العمل ، وسرقت بياناتهم من قاعدة بيانات كشوف المرتبات الخاصة بمقدم الخدمة.

علاوة على ذلك ، يبدو أن بعض المنظمات على الأقل التي تم اختراقها بهذه الطريقة (سواء بشكل مباشر من خلال إعداد MOVEit الخاص بها ، أو بشكل غير مباشر عبر أحد مزودي الخدمة) كانت هيئات خدمة عامة أمريكية.

مكافأة مقابل ماسك

أدى هذا المزيج من الظروف إلى فريق US Rewards for Justice (RFJ) ، وهو جزء من وزارة الخارجية الأمريكية (قد يُطلق على مكافئ بلدك اسم الشؤون الخارجية أو وزارة الخارجية) ، لتذكير الجميع على تويتر بما يلي:

RFJ's يقول موقع الويب الخاص، كما هو مقتبس في التغريدة أعلاه:

تقدم Rewards for Justice مكافأة تصل إلى 10 ملايين دولار للحصول على معلومات تؤدي إلى تحديد أو تحديد موقع أي شخص يشارك ، أثناء تصرفه بتوجيه من حكومة أجنبية أو تحت سيطرتها ، في أنشطة إلكترونية ضارة ضد البنية التحتية الحيوية للولايات المتحدة في انتهاك. من قانون الاحتيال وإساءة استخدام الكمبيوتر (CFAA).

ليس من الواضح ما إذا كان بإمكان المخبرين الحصول على عدة مضاعفات بقيمة 10,000,000 دولار إذا حددوا العديد من المخالفين ، وتم تحديد كل مكافأة على أنها "تصل إلى" 10 ملايين دولار بدلاً من 10 ملايين دولار غير مخففة في كل مرة ...

... ولكن سيكون من المثير للاهتمام معرفة ما إذا كان أي شخص يقرر محاولة المطالبة بالمال.

الطابع الزمني:

اكثر من الأمن عارية