Kas olete huvitatud 10,000,000 2.1 XNUMX dollarist? Kas olete valmis Clop Ransomware Crew'i sisse andma?

Taasavaldanud Platon

järgijaid: 0

Uusim kõrgetasemeline küberkuritegevuse ärakasutamine Clopi lunavarameeskonnale omistatud ei ole teie traditsioonilised lunavararünnakud (kui "traditsiooniline" on õige sõna väljapressimismehhanismi kohta, mis ulatub alles 1989. aastasse).

Tavapärased lunavararünnakud on sellised, kus teie failid segatakse, teie ettevõte jookseb täielikult rööbastelt välja ja kuvatakse teade, et teie andmete dekrüpteerimisvõti on saadaval...

…tavaliselt silmatorkava rahasumma eest.

.s-button+.s-button { margin-left: .3125rem; } .s-button { üleminek: kõik .15s lineaarne; fondi suurus: .875rem; joone kõrgus: 1.5; värv: #f2f2f2; fondiperekond: SophosSansMedium, Helvetica Neue, Helvetica, Arial, sans-serif; fondi kaal: 400; fondi stiil: tavaline; ekraan: inline-block; polster: .3125rem 1.25rem; kursor: kursor; teksti joondamine: keskel; tekst-kaunistus: puudub; ääris: 1px solid #005bc8; piiri raadius: 3px; taustavärv: #005bc8; tekst-vari: puudub; } .s-button:hover { text-decoration: none; värv: #fff; piirivärv: #002d62; taustavärv: #002d62; } .s-button–white, .s-button–white:hover { color: #005bc8 !important; piirivärv: #fff; taustavärv: #fff; } .s-ad-sophos-mdr { fondi suurus: 1rem; joone kõrgus: 1.5; värv: #242629; fondiperekond: SophosSansRegular, Helvetica Neue, Helvetica, Arial, sans-serif; fondi kaal: 400; fondi stiil: tavaline; asend: suhteline; maksimaalne laius: 769 pikslit; veeris: 15px auto; polsterdus: 30px 30px 25px; üleminek: kast-vari .25s cubic-bezier( .645, .045, .355, 1 ); teksti joondamine: keskel; taustavärv: #0d141d; background-repeat: no-repeat; taustapositsioon: 50%; tausta suurus: kaas; kast-vari: 0 0 0 0 0 läbipaistev; taustavärv: #005bc8; taustapilt: puudub; tausta-positsioon: 0 0; } .s-ad-sophos-mdr__title { fondi suurus: 2rem; joone kõrgus: 1.125; veeris-alumine: 4px; värv: #fff; } .s-ad-sophos-mdr__text { font-family: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; fondi kaal: 400; fondi stiil: tavaline; fondi suurus: 17 pikslit; värv: #fff; } .s-ad-sophos-mdr__action { margin-top: 15px; } .s-ad-sophos-mdr__action .s-button { värv: #fff; } .s-ad-sophos-mdr__link-wrapper { text-decoration: none; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { box-shadow: 0 5px 10px 0 rgba( 0, 0, 0, .15 ); } .s-ad-sophos-mdr__sophos-logo { asukoht: absoluutne; ülemine: 15 pikslit; paremal: 15 pikslit; } .s-ad-sophos-mdr__sophos-logo-svg { kuva: inline-block; laius: 64 pikslit; kõrgus: 11 pikslit; vertikaalne joondamine: ülemine; background-repeat: no-repeat; tausta suurus: 64 pikslit 11 pikslit; } .s-ad-sophos-mdr__title { font-family: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; fondi kaal: 400; fondi stiil: tavaline; fondi suurus: 28 pikslit; fondi kaal: 700; joone kõrgus: 1; veeris-alumine: 10px; teksti joondamine: vasakule; } .s-ad-sophos-mdr__title svg { max-width: 100%; } .s-ad-sophos-mdr__text { fondi suurus: 16 pikslit; joone kõrgus: 1.25; teksti joondamine: vasakule; } .s-ad-sophos-mdr__action { text-align: right; } .s-ad-sophos-mdr .s-button { piiriraadius: 20 pikslit; } @media (min-width: 769px) { .s-ad-sophos-mdr__text { margin-right: 140px; } .s-ad-sophos-mdr__action { position: absoluutne; paremal: 30 pikslit; alumine: 30 pikslit; } } @meedia (max-width: 768px) { .s-ad-sophos-mdr { padding-top: 50px; } .s-ad-sophos-mdr__title { fondi suurus: 1.625rem; } .s-ad-sophos-mdr__text { fondi suurus: 16 pikslit; } .s-ad-sophos-mdr { padding-top: 30px; } }

Kriminaalne evolutsioon

Nagu võite ette kujutada, arvestades seda lunavara läheb tagasi päevi enne seda, kui kõigil oli Interneti-juurdepääs (ja kui võrgus viibijatel ei mõõdetud andmeedastuskiirust mitte gigabittides või isegi megabittides sekundis, vaid sageli vaid kilobittides), oli idee oma failide skrambleerimisest nende asukohta räige trikk. säästa aega.

Kurjategijad saavutasid täieliku kontrolli teie andmete üle, ilma et oleks pidanud esmalt kõike üles laadima ja seejärel kettale originaalfaile üle kirjutama.

Veelgi parem, kui kelmid võiksid otsida sadu, tuhandeid või isegi miljoneid arvuteid korraga ja neil ei olnud vaja kõiki teie andmeid hoida, lootes need teile tagasi müüa. (Enne pilvesalvestusest tarbijateenuseks muutumist oli varundamiseks kulukas kettaruum ja seda ei olnud võimalik nõudmisel hetkega hõlpsasti hankida.)

Faile krüpteeriva lunavara ohvrid käituvad iroonilisel kombel oma andmete tahtmatute vanglaülematena.

Nende failid jäetakse ahvatlevalt käeulatusse, sageli nende algsete failinimedega (ehkki lisalaiendiga, näiteks .locked lõppu lisatud, et haavale soola hõõruda), kuid see on täiesti arusaamatu rakendustele, mis neid tavaliselt avavad.

Kuid tänapäeva pilvandmetöötluse maailmas ei ole küberrünnakud, kus lunavarakelmid tegelikult kõigist või vähemalt paljudest teie elutähtsatest failidest koopiad teevad, mitte ainult tehniliselt võimalikud, vaid igapäevased.

Selguse huvides võib öelda, et paljudel, kui mitte enamikul juhtudel ründavad ründajad ka teie kohalikke faile, sest nad saavad seda teha.

Lõppude lõpuks on tuhandetes arvutites samaaegne failide skrambleerimine üldiselt palju kiirem kui nende kõigi pilve üleslaadimine.

Kohalikud salvestusseadmed pakuvad andmeside ribalaiust tavaliselt mitu gigabitti sekundis draivi kohta arvuti kohta, samas kui paljudes ettevõtete võrkudes on kõigi vahel jagatud Interneti-ühendus mõnisada megabitti sekundis või isegi vähem.

Kõigi failide skrambleerimine kõigis teie sülearvutites ja serverites kõigis teie võrkudes tähendab, et ründajad võivad teid väljapressida, et viia teie ettevõte pankrotti, kui te ei suuda oma varukoopiaid õigeaegselt taastada.

(Tänapäeva lunavarakelmid püüavad sageli enne failide skrambleerimist hävitada nii palju teie varundatud andmeid, kui nad leiavad.)

Esimene väljapressimise kiht ütleb: "Makske ja me anname teile dekrüpteerimisvõtmed, mida vajate kõigi failide taastamiseks igas arvutis, nii et isegi kui teil on aeglane, osaline või üldse mitte varukoopia, olete varsti uuesti töökorras. keelduda maksmast ja teie äritegevus jääb sinna, kus nad on, surnud vette.

Samal ajal, isegi kui kelmidel on aega vaid mõned teie kõige huvitavamad failid mõnest teie kõige huvitavamast arvutist varastada, saavad nad sellest hoolimata teise Damoklese mõõga teie pea kohal hoida.

See teine väljapressimise kiht läheb sarnaselt “Makske kinni ja me lubame varastatud andmed kustutada; keelduda maksmast ja me ei hoia sellest kinni, vaid läheme sellega metsikuks.

Kelmid ähvardavad tavaliselt müüa teie trofeeandmeid teistele kurjategijatele, edastada need teie riigi reguleerivatele asutustele ja meediale või lihtsalt avaldada need avalikult veebis, et kõik saaksid neid alla laadida ja ahmida.

Unustage krüpteerimine

Mõne küberväljapressimise rünnaku korral jätavad kurjategijad, kes on teie andmed juba varastanud, failide skrambleerimise osa vahele või ei suuda seda eemaldada.

Sel juhul satuvad ohvrid väljapressimiseks ainult kelmide vaikimise, mitte failide tagasisaamise, et äri uuesti käima saada.

Näib, et just see juhtus hiljutises kõrgetasemelises provisjonis MOVEit ründab, kus Clopi jõuk või nende sidusettevõtted teadsid MOVEiti nime all tuntud tarkvara ärakasutatavast nullpäeva haavatavusest…

…see juhtub lihtsalt ettevõtte andmete üleslaadimise, haldamise ja turvalise jagamise kohta, sealhulgas komponent, mis võimaldab kasutajatel süsteemile juurde pääseda, kasutades selleks midagi keerukamat kui nende veebibrauserid.

Kahjuks eksisteeris MOVEiti veebipõhises koodis nullpäeva auk, nii et kõik, kes olid aktiveerinud veebipõhise juurdepääsu, paljastasid oma ettevõtte failiandmebaasid kogemata kaugsüstitud SQL-käskudele.

Ilmselt kahtlustatakse, et enam kui 130 ettevõttelt varastati andmed enne MOVEiti nullpäeva avastamist ja parandamist.

Paljud ohvrid tunduvad olevat töötajad, kelle palgaandmeid rikuti ja varastati – mitte seetõttu, et nende enda tööandja oli MOVEiti klient, vaid seetõttu, et nende tööandja allhangetega palgatöötleja oli ja nende andmed varastati selle teenusepakkuja palgaarvestuse andmebaasist.

Lisaks näib, et vähemalt mõned sellisel viisil häkkinud organisatsioonid (kas otse nende enda MOVEiti seadistuse kaudu või kaudselt mõne teenusepakkuja kaudu) olid USA avalik-õiguslikud asutused.

Auhinnad kätte

See asjaolude kombinatsioon viis selleni, et USA välisministeeriumi osa (teie riigi vaste võib olla välisasjade või välisministeeriumi nimi) US Rewards for Justice (RFJ) meeskond tuletas Twitteris kõigile meelde järgmist:

RFJ-d ütleb enda veebisait, nagu tsiteeritud ülaltoodud säutsis:

Rewards for Justice pakub kuni 10 miljoni dollari suurust preemiat teabe eest, mis võimaldab tuvastada või asukoha tuvastada iga isiku, kes tegutseb välisriigi valitsuse juhtimisel või kontrolli all ja osaleb USA kriitilise infrastruktuuri vastu suunatud pahatahtlikus kübertegevuses. Arvutipettuste ja kuritarvitamise seaduse (CFAA).

Ei ole selge, kas informaatorid võivad saada mitu korda 10,000,000 10 10 dollarit, kui nad tuvastavad mitu kurjategijat, ja iga preemia suurus on kuni XNUMX miljonit dollarit, mitte lahjendamata XNUMX miljonit dollarit iga kord…

…aga on huvitav näha, kas keegi otsustab proovida raha välja nõuda.