Interested In $10,000,000? Ready To Turn In The Clop Ransomware Crew?

Julkaissut Platon

seuraajia: 0

Uusin korkean profiilin kyberrikollisuuden hyväksikäytöt Clop ransomware -ryhmästä johtuvat eivät ole perinteisiä kiristysohjelmahyökkäyksiäsi (jos "perinteinen" on oikea sana kiristysmekanismille, joka juontaa juurensa vasta vuoteen 1989).

Perinteiset kiristysohjelmahyökkäykset ovat sellaisia, joissa tiedostosi sekoitetaan, yrityksesi suistuu täysin ja näkyviin tulee viesti, joka kertoo, että tietojesi salauksenpurkuavain on saatavilla...

…mikä on tyypillisesti silmiä hivelevä rahasumma.

.s-button+.s-button { margin-left: .3125rem; } .s-button { siirtymä: kaikki .15s lineaarinen; kirjasinkoko: .875rem; linjan korkeus: 1.5; väri: #f2f2f2; kirjasinperhe: SophosSansMedium, Helvetica Neue, Helvetica, Arial, sans-serif; fontin paino: 400; font-tyyli: normaali; näyttö: inline-block; pehmuste: .3125rem 1.25rem; kohdistin: osoitin; tekstin tasaus: keskellä; tekstikoristelu: ei mitään; reunus: 1px solid #005bc8; reunan säde: 3px; taustaväri: #005bc8; tekstivarjo: ei mitään; } .s-button:hover { text-decoration: ei mitään; väri: #fff; reunan väri: #002d62; taustaväri: #002d62; } .s-button–white, .s-button–white:hover { color: #005bc8 !tärkeää; reunan väri: #fff; taustaväri: #fff; } .s-ad-sophos-mdr { font-size: 1rem; linjan korkeus: 1.5; väri: #242629; kirjasinperhe: SophosSansRegular, Helvetica Neue, Helvetica, Arial, sans-serif; fontin paino: 400; font-tyyli: normaali; asema: suhteellinen; suurin leveys: 769 pikseliä; marginaali: 15px auto; täyte: 30px 30px 25px; siirtymä: box-shadow .25s cubic-bezier(.645, .045, .355, 1 ); tekstin tasaus: keskellä; taustaväri: #0d141d; taustatoisto: ei toistoa; tausta-asento: 50 %; taustan koko: kansi; laatikkovarjo: 0 0 0 0 0 läpinäkyvä; taustaväri: #005bc8; taustakuva: ei mitään; tausta-sijainti: 0 0; } .s-ad-sophos-mdr__title { font-size: 2rem; viivan korkeus: 1.125; marginaali-ala: 4px; väri: #fff; } .s-ad-sophos-mdr__text { font-family: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; fontin paino: 400; font-tyyli: normaali; fonttikoko: 17px; väri: #fff; } .s-ad-sophos-mdr__action { margin-top: 15px; } .s-ad-sophos-mdr__action .s-button { color: #fff; } .s-ad-sophos-mdr__link-wrapper { text-decoration: ei mitään; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { box-shadow: 0 5px 10px 0 rgba( 0, 0, 0, .15 ); } .s-ad-sophos-mdr__sophos-logo { position: absoluuttinen; yläreuna: 15px; oikea: 15px; } .s-ad-sophos-mdr__sophos-logo-svg { näyttö: inline-block; leveys: 64px; korkeus: 11px; pystysuuntaus: ylhäältä; taustatoisto: ei toistoa; taustan koko: 64px 11px; } .s-ad-sophos-mdr__title { font-family: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; fontin paino: 400; font-tyyli: normaali; fonttikoko: 28px; fontin paino: 700; rivin korkeus: 1; marginaali-ala: 10px; tekstin tasaus: vasen; } .s-ad-sophos-mdr__title svg { max-width: 100%; } .s-ad-sophos-mdr__text { font-size: 16px; viivan korkeus: 1.25; tekstin tasaus: vasen; } .s-ad-sophos-mdr__action { text-align: right; } .s-ad-sophos-mdr .s-button { border-radius: 20px; } @media (min-width:769px) { .s-ad-sophos-mdr__text { margin-right: 140px; } .s-ad-sophos-mdr__action { position: absoluuttinen; oikea: 30px; pohja: 30px; } } @media (max-width:768px) { .s-ad-sophos-mdr { täyte-top: 50px; } .s-ad-sophos-mdr__title { font-size: 1.625rem; } .s-ad-sophos-mdr__text { font-size: 16px; } .s-ad-sophos-mdr { täyte-top: 30px; } }

Rikollinen evoluutio

Kuten voit kuvitella, ottaen huomioon ransomware palaa Ennen kuin kaikilla oli Internet-yhteys (ja kun verkossa olleiden tiedonsiirtonopeutta ei mitattu gigabitteinä tai jopa megabitteinä sekunnissa, vaan usein vain kilobitteinä), ajatus tiedostojen salaamisesta sinne, missä ne olivat, oli ällöttävä temppu säästää aikaa.

Rikolliset päätyivät tietojesi täydelliseen hallintaan ilman, että heidän tarvitsisi ensin ladata kaikkea ja sitten korvata alkuperäiset tiedostot levylle.

Parempi vielä huijareille, että he saattoivat etsiä satoja, tuhansia tai jopa miljoonia tietokoneita kerralla, eikä heidän tarvinnut pitää hallussaan kaikkia tietojasi "myydä ne takaisin" sinulle. (Ennen kuin pilvitallennustilasta tuli kuluttajapalvelu, levytila varmuuskopiointia varten oli kallista, eikä sitä ollut helppo hankkia pyynnöstä hetkessä.)

Tiedostosalaavien kiristysohjelmien uhrit päätyvät ironisesti toimimaan haluttomina omien tietojensa vankilanvartijoina.

Heidän tiedostonsa jätetään houkuttelevasti ulottuville, usein niiden alkuperäisillä tiedostonimillä (tosin ylimääräisellä tunnisteella, kuten .locked lisätty päähän hieromaan suolaa haavaan), mutta se on täysin käsittämätön sovelluksille, jotka yleensä avasivat ne.

Mutta nykypäivän pilvipalvelumaailmassa kyberhyökkäykset, joissa lunnasohjelmarikolliset itse asiassa ottavat kopiot kaikista tai ainakin monista tärkeistä tiedostoistasi, eivät ole pelkästään teknisesti mahdollisia, vaan myös yleisiä.

Selvyyden vuoksi useissa, ellei useimmissa tapauksissa, hyökkääjät salaavat myös paikallisia tiedostoja, koska he voivat.

Loppujen lopuksi tiedostojen sekoitus tuhansilla tietokoneilla samanaikaisesti on yleensä paljon nopeampaa kuin niiden kaikkien lataaminen pilveen.

Paikalliset tallennuslaitteet tarjoavat tyypillisesti useita gigabittejä sekunnissa datakaistanleveyden kiintolevyä kohden tietokonetta kohti, kun taas monissa yritysverkoissa on muutaman sadan megabitin tai jopa vähemmän internet-yhteys jaettu kaikkien kesken.

Kaikkien tiedostojesi salaus kaikissa kannettavissa tietokoneissasi ja palvelimissasi kaikissa verkoissasi tarkoittaa, että hyökkääjät voivat kiristää sinut yrityksesi konkurssin perusteella, jos et pysty palauttamaan varmuuskopioitasi ajoissa.

(Nykyiset kiristysohjelmarikolliset tekevät usein kaikkensa tuhotakseen niin paljon varmuuskopioiduista tiedoista kuin he voivat löytää ennen tiedostojen sekoitusosion suorittamista.)

Ensimmäinen kiristyksen kerros sanoo, "Maksa, ja annamme sinulle salauksen purkuavaimet, joita tarvitset kaikkien tiedostojen rekonstruoimiseksi juuri siellä missä ne ovat kussakin tietokoneessa, joten vaikka sinulla olisi hitaita, osittaisia tai ei ollenkaan varmuuskopioita, olet pian taas toiminnassa. kieltäydyt maksamasta, ja yrityksesi jää samaan paikkaan, kuolleena veteen."

Samaan aikaan, vaikka roistoilla on aikaa vain varastaa mielenkiintoisimpia tiedostojasi joistakin mielenkiintoisimmista tietokoneistasi, he saavat kuitenkin toisen Damokleen miekan päähäsi.

Tämä toinen kiristyskerros kulkee samaa linjaa, "Maksa ja lupaamme poistaa varastetut tiedot; kieltäydymme maksamasta, emmekä vain pidä siitä kiinni, vaan lähdemme siitä villiin."

Roistot uhkaavat yleensä myydä palkintotietosi muille rikollisille, välittää ne maasi sääntelijöille ja tiedotusvälineille tai yksinkertaisesti julkaista ne avoimesti verkossa, jotta kaikki voivat ladata ja nauttia.

Unohda salaus

Joissakin kyberkiristyshyökkäyksissä tietosi jo varastaneet rikolliset joko ohittavat tiedostojen sekoitusosan tai eivät pysty poistamaan sitä.

Siinä tapauksessa uhria kiristetään vain siksi, että he pitävät roistot hiljaa, ei siksi, että he saavat tiedostojaan takaisin, jotta heidän liiketoimintansa saadaan taas pyörimään.

Näin näyttää tapahtuneen viimeaikaisessa korkean profiilin aikana MOVEit-hyökkäykset, jossa Clop-jengi tai sen tytäryhtiöt tiesivät hyödynnettävästä nollapäivän haavoittuvuudesta ohjelmistossa, joka tunnetaan nimellä MOVEit…

…jossa vain sattuu olemaan kyse yritystietojen lataamisesta, hallinnasta ja turvallisesta jakamisesta, mukaan lukien komponentti, jonka avulla käyttäjät pääsevät järjestelmään millään monimutkaisemmalla kuin web-selaimillaan.

Valitettavasti nollapäivän aukko oli MOVEitin verkkopohjaisessa koodissa, joten jokainen, joka oli aktivoinut verkkopohjaisen käytön, altisti vahingossa yrityksen tiedostotietokantansa etäinjektoiville SQL-komennoille.

Ilmeisesti yli 130 yrityksen epäillään saaneen tietoja ennen kuin MOVEit-nollapäivä löydettiin ja korjattiin.

Monet uhreista näyttävät olevan työntekijöitä, joiden palkkatiedot on rikottu ja varastettu – ei siksi, että heidän oma työnantajansa olisi ollut MOVEit-asiakas, vaan koska heidän työnantajansa ulkoistettu palkanlaskennan käsittelijä oli, ja heidän tiedot varastettiin kyseisen palveluntarjoajan palkkatietokannasta.

Lisäksi näyttää siltä, että ainakin osa tällä tavalla hakkeroiduista organisaatioista (joko suoraan oman MOVEit-järjestelmän kautta tai epäsuorasti jonkin palveluntarjoajansa kautta) olivat Yhdysvaltain julkisia palveluelimiä.

Palkitse nappauksista

Tämä olosuhteiden yhdistelmä johti siihen, että US Rewards for Justice (RFJ) -tiimi, joka on osa Yhdysvaltain ulkoministeriötä (maasi vastine voi olla nimellä Foreign Affairs tai Foreign Ministry), muistutti kaikkia Twitterissä seuraavasti:

RFJ:t omat nettisivut kertovat, kuten yllä olevassa twiitissä lainataan:

Rewards for Justice tarjoaa jopa 10 miljoonan dollarin palkkion tiedoista, jotka johtavat sellaisen henkilön tunnistamiseen tai sijaintiin, joka toimiessaan vieraan hallituksen ohjauksessa tai valvonnassa osallistuu haitallisiin kybertoimintoihin Yhdysvaltain kriittistä infrastruktuuria vastaan. Computer Fraud and Abuse Act (CFAA).

Ei ole selvää, voivatko ilmoittajat saada useita 10,000,000 10 10 dollarin kerrannaisia, jos he tunnistavat useita rikoksentekijöitä, ja jokainen palkkio määritellään "jopa" XNUMX miljoonaksi dollariksi eikä laimentamattomaksi XNUMX miljoonaksi dollariksi joka kerta…

…mutta on mielenkiintoista nähdä, päättääkö joku yrittää lunastaa rahat.