Ενδιαφέρεστε για $10,000,000; Είστε έτοιμοι να παραδώσετε το πλήρωμα του Clop ransomware;

Το πιο πρόσφατο υψηλού προφίλ εκμεταλλεύσεις εγκλήματος στον κυβερνοχώρο που αποδίδονται στο πλήρωμα ransomware Clop δεν είναι το παραδοσιακό είδος επιθέσεων ransomware (αν το "παραδοσιακό" είναι η σωστή λέξη για έναν μηχανισμό εκβιασμού που χρονολογείται μόλις από το 1989).

Οι συμβατικές επιθέσεις ransomware είναι εκεί όπου τα αρχεία σας κρυπτογραφούνται, η επιχείρησή σας εκτροχιάζεται εντελώς και εμφανίζεται ένα μήνυμα που σας λέει ότι υπάρχει διαθέσιμο κλειδί αποκρυπτογράφησης για τα δεδομένα σας…

…για κάτι που είναι συνήθως ένα εντυπωσιακό χρηματικό ποσό.

Εγκληματική εξέλιξη

Όπως μπορείτε να φανταστείτε, με δεδομένο αυτό Το ransomware επιστρέφει μέχρι τις μέρες πριν όλοι είχαν πρόσβαση στο Διαδίκτυο (και όταν όσοι ήταν συνδεδεμένοι είχαν ταχύτητες μεταφοράς δεδομένων όχι σε gigabit ή ακόμα και megabits ανά δευτερόλεπτο, αλλά συχνά μόνο σε kilobit), η ιδέα να κρυπτογραφήσετε τα αρχεία σας εκεί που βρίσκονταν ήταν ένα άθλιο κόλπο για εξοικονόμηση χρόνου.

Οι εγκληματίες κατέληξαν να έχουν τον απόλυτο έλεγχο των δεδομένων σας, χωρίς να χρειάζεται πρώτα να ανεβάσετε τα πάντα και μετά να αντικαταστήσετε τα αρχικά αρχεία στο δίσκο.

Ακόμα καλύτερα για τους απατεώνες, θα μπορούσαν να κυνηγήσουν εκατοντάδες, χιλιάδες ή και εκατομμύρια υπολογιστές ταυτόχρονα, και δεν χρειαζόταν να κρατούν όλα τα δεδομένα σας με την ελπίδα να σας τα «πουλήσουν πίσω». (Πριν ο χώρος αποθήκευσης cloud γίνει υπηρεσία καταναλωτή, ο χώρος στον δίσκο για δημιουργία αντιγράφων ασφαλείας ήταν ακριβός και δεν μπορούσε να αποκτηθεί εύκολα κατόπιν ζήτησης σε μια στιγμή.)

Τα θύματα του ransomware που κρυπτογραφεί αρχεία καταλήγουν ειρωνικά να ενεργούν ως απρόθυμοι φύλακες των δικών τους δεδομένων.

Τα αρχεία τους αφήνονται δελεαστικά κοντά, συχνά με τα αρχικά τους ονόματα αρχείων (αν και με μια επιπλέον επέκταση, όπως π.χ. .locked προστέθηκε στην άκρη για να τρίψει αλάτι στην πληγή), αλλά εντελώς ακατανόητο για τις εφαρμογές που συνήθως τις άνοιγαν.

Αλλά στον σημερινό κόσμο του cloud computing, οι επιθέσεις στον κυβερνοχώρο όπου οι απατεώνες ransomware παίρνουν στην πραγματικότητα αντίγραφα όλων, ή τουλάχιστον πολλών, των ζωτικών αρχείων σας δεν είναι μόνο τεχνικά δυνατές, αλλά και συνηθισμένες.

Για να είμαστε ξεκάθαροι, σε πολλές, αν όχι στις περισσότερες περιπτώσεις, οι εισβολείς ανακατεύουν και τα τοπικά σας αρχεία, γιατί μπορούν.

Σε τελική ανάλυση, η ταυτόχρονη κρυπτογράφηση αρχείων σε χιλιάδες υπολογιστές είναι γενικά πολύ πιο γρήγορη από την αποστολή όλων στο cloud.

Οι τοπικές συσκευές αποθήκευσης παρέχουν συνήθως ένα εύρος ζώνης δεδομένων πολλών gigabit ανά δευτερόλεπτο ανά μονάδα δίσκου ανά υπολογιστή, ενώ πολλά εταιρικά δίκτυα έχουν σύνδεση στο Διαδίκτυο μερικών εκατοντάδων megabit ανά δευτερόλεπτο, ή ακόμη λιγότερο, κοινή μεταξύ όλων.

Η κρυπτογράφηση όλων των αρχείων σας σε όλους τους φορητούς υπολογιστές και τους διακομιστές σας σε όλα τα δίκτυά σας σημαίνει ότι οι εισβολείς μπορούν να σας εκβιάσουν με βάση τη χρεοκοπία της επιχείρησής σας, εάν δεν μπορείτε να ανακτήσετε τα αντίγραφα ασφαλείας σας εγκαίρως.

(Οι σημερινοί απατεώνες ransomware συχνά καταβάλλουν κάθε δυνατή προσπάθεια για να καταστρέψουν όσα από τα δεδομένα που έχουν δημιουργηθεί αντίγραφα ασφαλείας μπορούν να βρουν προτού κάνουν το μέρος της κρυπτογράφησης αρχείων.)

Το πρώτο στρώμα εκβιασμού λέει, "Πληρωμή και θα σας δώσουμε τα κλειδιά αποκρυπτογράφησης που χρειάζεστε για να ανακατασκευάσετε όλα τα αρχεία σας ακριβώς στο σημείο που βρίσκονται σε κάθε υπολογιστή, έτσι ώστε ακόμα κι αν έχετε αργά, μερικά ή καθόλου αντίγραφα ασφαλείας, θα ξεκινήσετε ξανά σύντομα. αρνηθείτε να πληρώσετε και οι επιχειρηματικές σας δραστηριότητες θα παραμείνουν εκεί που είναι, νεκρές στο νερό».

Ταυτόχρονα, ακόμα κι αν οι απατεώνες έχουν μόνο χρόνο να κλέψουν μερικά από τα πιο ενδιαφέροντα αρχεία σας από μερικούς από τους πιο ενδιαφέροντες υπολογιστές σας, παρόλα αυτά έχουν ένα δεύτερο δαμόκλειο σπαθί για να το κρατήσουν πάνω από το κεφάλι σας.

Αυτό το δεύτερο στρώμα εκβιασμού ακολουθεί τις γραμμές του, «Πληρωμή και υποσχόμαστε να διαγράψουμε τα κλεμμένα δεδομένα. αρνούμαστε να πληρώσουμε και δεν θα το κρατήσουμε απλώς, αλλά θα τρελαθούμε μαζί του».

Οι απατεώνες συνήθως απειλούν να πουλήσουν τα δεδομένα του τροπαίου σας σε άλλους εγκληματίες, να τα προωθήσουν στις ρυθμιστικές αρχές και στα μέσα ενημέρωσης της χώρας σας ή απλώς να τα δημοσιεύσουν ανοιχτά στο διαδίκτυο για να τα κατεβάσουν όλοι και όλοι.

Ξεχάστε την κρυπτογράφηση

Σε ορισμένες επιθέσεις διαδικτυακής εκβίασης, οι εγκληματίες που έχουν ήδη κλέψει τα δεδομένα σας είτε παραλείπουν το τμήμα κρυπτογράφησης αρχείων είτε δεν μπορούν να το βγάλουν.

Σε αυτήν την περίπτωση, τα θύματα καταλήγουν να εκβιάζονται μόνο με βάση το να κρατούν ήσυχους τους απατεώνες, όχι να πάρουν πίσω τα αρχεία τους για να ξαναλειτουργήσει η επιχείρησή τους.

Αυτό φαίνεται να συνέβη στην πρόσφατη υψηλού προφίλ Επιθέσεις MOVEit, όπου η συμμορία Clop ή οι θυγατρικές τους γνώριζαν για μια εκμεταλλεύσιμη ευπάθεια zero-day σε λογισμικό γνωστό ως MOVEit…

…αυτά τυχαίνει να αφορούν τη μεταφόρτωση, τη διαχείριση και την ασφαλή κοινή χρήση εταιρικών δεδομένων, συμπεριλαμβανομένου ενός στοιχείου που επιτρέπει στους χρήστες να έχουν πρόσβαση στο σύστημα χρησιμοποιώντας τίποτα πιο περίπλοκο από τα προγράμματα περιήγησης ιστού τους.

Δυστυχώς, η τρύπα zero-day υπήρχε στον κώδικα που βασίζεται στο web του MOVEit, έτσι ώστε όποιος είχε ενεργοποιήσει την πρόσβαση μέσω web εξέθεσε κατά λάθος τις βάσεις δεδομένων των εταιρικών αρχείων του σε εντολές SQL που εισήχθη εξ αποστάσεως.

---

---

Προφανώς, περισσότερες από 130 εταιρείες υποπτεύονται τώρα ότι είχαν κλαπεί δεδομένα πριν ανακαλυφθεί και διορθωθεί το MOVEit zero-day.

Πολλά από τα θύματα φαίνεται να είναι υπάλληλοι των οποίων τα στοιχεία μισθοδοσίας παραβιάστηκαν και κλάπηκαν – όχι επειδή ο εργοδότης τους ήταν πελάτης του MOVEit, αλλά επειδή ήταν ο εξωτερικός υπεύθυνος επεξεργασίας μισθοδοσίας του εργοδότη τους και τα δεδομένα τους κλάπηκαν από τη βάση δεδομένων μισθοδοσίας αυτού του παρόχου.

Επιπλέον, φαίνεται ότι τουλάχιστον ορισμένοι από τους οργανισμούς που παραβιάστηκαν με αυτόν τον τρόπο (είτε απευθείας μέσω της δικής τους εγκατάστασης MOVEit, είτε έμμεσα μέσω ενός από τους παρόχους υπηρεσιών τους) ήταν φορείς δημόσιας υπηρεσίας των ΗΠΑ.

Επιβράβευση για τις αρπαγές

Αυτός ο συνδυασμός περιστάσεων οδήγησε στην ομάδα των ΗΠΑ Rewards for Justice (RFJ), μέρος του Υπουργείου Εξωτερικών των ΗΠΑ (το αντίστοιχο της χώρας σας μπορεί να ονομάζεται Υπουργείο Εξωτερικών ή Υπουργείο Εξωτερικών), υπενθυμίζοντας σε όλους στο Twitter ως εξής:

Το RFJ λέει η δική του ιστοσελίδα, όπως αναφέρεται στο παραπάνω tweet:

Το Rewards for Justice προσφέρει ανταμοιβή έως και 10 εκατομμυρίων δολαρίων για πληροφορίες που οδηγούν στον εντοπισμό ή τον εντοπισμό οποιουδήποτε ατόμου, ενώ ενεργεί υπό την καθοδήγηση ή υπό τον έλεγχο μιας ξένης κυβέρνησης, συμμετέχει σε κακόβουλες δραστηριότητες στον κυβερνοχώρο κατά κρίσιμων υποδομών των ΗΠΑ κατά παράβαση του νόμου περί απάτης και κατάχρησης υπολογιστών (CFAA).

Το αν οι πληροφοριοδότες θα μπορούσαν να καταλήξουν με πολλά πολλαπλάσια των 10,000,000 $ εάν εντοπίσουν πολλούς παραβάτες δεν είναι ξεκάθαρο και κάθε ανταμοιβή καθορίζεται ως «έως» 10 εκατομμύρια δολάρια αντί για 10 εκατομμύρια δολάρια κάθε φορά που δεν έχουν αραιωθεί…

…αλλά θα είναι ενδιαφέρον να δούμε αν κάποιος αποφασίσει να προσπαθήσει να διεκδικήσει τα χρήματα.

---

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Αυτοκίνητο / EVs, Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• BlockOffsets. Εκσυγχρονισμός της περιβαλλοντικής αντιστάθμισης ιδιοκτησίας. Πρόσβαση εδώ.
• πηγή: https://nakedsecurity.sophos.com/2023/06/28/interested-in-10000000-ready-to-turn-in-the-clop-ransomware-crew/