Interested In $10,000,000? Ready To Turn In The Clop Ransomware Crew?

Publisert av Platon

Følgere: 0

Den siste høyprofilerte utnyttelse av nettkriminalitet tilskrevet Clop ransomware-mannskapet er ikke den tradisjonelle typen ransomware-angrep (hvis "tradisjonell" er det riktige ordet for en utpressingsmekanisme som bare går tilbake til 1989).

Konvensjonelle løsepengevareangrep er hvor filene dine blir forvrengt, virksomheten din blir fullstendig avsporet, og det vises en melding som forteller deg at en dekrypteringsnøkkel for dataene dine er tilgjengelig...

…for det som vanligvis er en iøynefallende sum penger.

.s-knapp+.s-knapp { margin-venstre: .3125rem; } .s-knapp { overgang: alle .15s lineær; skriftstørrelse: .875rem; linjehøyde: 1.5; farge: #f2f2f2; font-familie: SophosSansMedium, Helvetica Neue, Helvetica, Arial, sans-serif; font-vekt: 400; font-stil: normal; display: inline-blokk; polstring: .3125rem 1.25rem; markør: peker; tekst-align: center; tekst-dekorasjon: ingen; kantlinje: 1px solid #005bc8; border-radius: 3px; bakgrunnsfarge: #005bc8; tekst-skygge: ingen; } .s-button:hover { tekst-dekorasjon: ingen; farge: #fff; kantfarge: #002d62; bakgrunnsfarge: #002d62; } .s-button–white, .s-button–white:hover { farge: #005bc8 !viktig; kantfarge: #fff; bakgrunnsfarge: #fff; } .s-ad-sophos-mdr { font-size: 1rem; linjehøyde: 1.5; farge: #242629; font-familie: SophosSansRegular, Helvetica Neue, Helvetica, Arial, sans-serif; font-vekt: 400; font-stil: normal; stilling: pårørende; maks-bredde: 769px; margin: 15px auto; polstring: 30px 30px 25px; overgang: box-shadow .25s cubic-bezier( .645, .045, .355, 1 ); tekst-align: center; bakgrunnsfarge: #0d141d; bakgrunns-gjenta: ikke-gjenta; bakgrunnsposisjon: 50%; bakgrunnsstørrelse: cover; boks-skygge: 0 0 0 0 0 gjennomsiktig; bakgrunnsfarge: #005bc8; bakgrunnsbilde: ingen; bakgrunnsposisjon: 0 0; } .s-ad-sophos-mdr__title { font-size: 2rem; linjehøyde: 1.125; marg-bunn: 4px; farge: #fff; } .s-ad-sophos-mdr__text { font-family: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; font-vekt: 400; font-stil: normal; skriftstørrelse: 17px; farge: #fff; } .s-ad-sophos-mdr__action { margin-top: 15px; } .s-ad-sophos-mdr__action .s-button { farge: #fff; } .s-ad-sophos-mdr__link-wrapper { tekstdekorasjon: ingen; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { box-shadow: 0 5px 10px 0 rgba( 0, 0, 0, .15 ); } .s-ad-sophos-mdr__sophos-logo { posisjon: absolutt; topp: 15px; høyre: 15px; } .s-ad-sophos-mdr__sophos-logo-svg { display: inline-block; bredde: 64px; høyde: 11px; vertikal-juster: topp; bakgrunns-gjenta: ikke-gjenta; bakgrunnsstørrelse: 64px 11px; } .s-ad-sophos-mdr__title { font-family: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; font-vekt: 400; font-stil: normal; skriftstørrelse: 28px; font-vekt: 700; linje-høyde: 1; marg-bunn: 10px; tekstjustering: venstre; } .s-ad-sophos-mdr__title svg { max-width: 100 %; } .s-ad-sophos-mdr__text { font-size: 16px; linjehøyde: 1.25; tekstjustering: venstre; } .s-ad-sophos-mdr__action { text-align: right; } .s-ad-sophos-mdr .s-knapp { border-radius: 20px; } @media (min-bredde:769px) { .s-ad-sophos-mdr__text { margin-right: 140px; } .s-ad-sophos-mdr__action {posisjon: absolutt; høyre: 30px; bunn: 30px; } } @media (max-width:768px) { .s-ad-sophos-mdr { padding-top: 50px; } .s-ad-sophos-mdr__title { font-size: 1.625rem; } .s-ad-sophos-mdr__text { font-size: 16px; } .s-ad-sophos-mdr { padding-top: 30px; } }

Kriminell evolusjon

Som du kan forestille deg, gitt det løsepengevare går tilbake til dagene før alle hadde tilgang til internett (og da de som var på nett hadde dataoverføringshastigheter målt ikke i gigabit eller til og med megabit per sekund, men ofte bare i kilobit), var ideen om å kryptere filene dine der de lå et elendig triks for å spare tid.

De kriminelle endte opp med full kontroll over dataene dine, uten å måtte laste opp alt først og deretter overskrive de originale filene på disken.

Enda bedre for skurkene, de kunne gå etter hundrevis, tusenvis eller til og med millioner av datamaskiner på en gang, og de trengte ikke holde på alle dataene dine i håp om å "selge den tilbake" til deg. (Før skylagring ble en forbrukertjeneste, var diskplass for sikkerhetskopiering dyrt, og kunne ikke enkelt skaffes på forespørsel på et øyeblikk.)

Ofre for filkrypterende løsepengevare ender ironisk nok opp med å opptre som uvillige fengselsbetjenter for sine egne data.

Filene deres er fristende innen rekkevidde, ofte med de originale filnavnene (riktignok med en ekstra utvidelse som f.eks. .locked lagt på enden for å gni salt inn i såret), men helt uforståelig for appene som vanligvis åpner dem.

Men i dagens cloud computing-verden er cyberangrep der ransomware-skurker faktisk tar kopier av alle, eller i det minste mange, av de vitale filene dine, ikke bare teknisk mulig, de er vanlig.

Bare for å være klar, i mange, om ikke de fleste tilfeller, forvrider angriperne dine lokale filer også, fordi de kan.

Tross alt er det generelt mye raskere å kryptere filer på tusenvis av datamaskiner samtidig enn å laste opp alle til skyen.

Lokale lagringsenheter gir vanligvis en databåndbredde på flere gigabit per sekund per stasjon per datamaskin, mens mange bedriftsnettverk har en internettforbindelse på noen hundre megabit per sekund, eller enda mindre, delt mellom alle.

Å kryptere alle filene dine på alle dine bærbare datamaskiner og servere på tvers av alle nettverkene dine betyr at angriperne kan utpresse deg på grunnlag av å slå bedriften din konkurs hvis du ikke kan gjenopprette sikkerhetskopiene i tide.

(Dagens løsepengevare-skurker går ofte ut av deres måte å ødelegge så mye av sikkerhetskopierte data som de kan finne før de utfører filkrypteringsdelen.)

Det første laget av utpressing sier: «Betal opp, så gir vi deg dekrypteringsnøklene du trenger for å rekonstruere alle filene dine akkurat der de er på hver datamaskin, så selv om du har treg, delvis eller ingen sikkerhetskopiering, vil du snart være i gang igjen; nekter å betale og virksomheten din vil forbli akkurat der de er, død i vannet.»

Samtidig, selv om skurkene bare har tid til å stjele noen av de mest interessante filene dine fra noen av de mest interessante datamaskinene dine, får de likevel et andre sverd av Damokles å holde over hodet ditt.

Det andre laget med utpressing går på linje med, «Betal opp og vi lover å slette de stjålne dataene; nekter å betale, og vi vil ikke bare holde på det, vi vil gå vill med det.»

Skurkene truer vanligvis med å selge trofédataene dine videre til andre kriminelle, videresende dem til regulatorene og media i landet ditt, eller rett og slett å publisere det åpent på nettet slik at alle og enhver kan laste ned og sluke på.

Glem krypteringen

I noen cyberutpressingsangrep hopper kriminelle som allerede har stjålet dataene dine enten over filkrypteringsdelen eller klarer ikke å fjerne dem.

I så fall ender ofrene opp med å bli utpresset bare på grunnlag av å holde skurkene i ro, ikke for å få tilbake filene sine for å få virksomheten i gang igjen.

Det ser ut til å være det som skjedde i den nylige høyprofilerte MOVEit angriper, der Clop-gjengen, eller deres tilknyttede selskaper, visste om en utnyttbar nulldagers sårbarhet i programvare kjent som MOVEit...

… som tilfeldigvis handler om opplasting, administrasjon og sikker deling av bedriftsdata, inkludert en komponent som lar brukere få tilgang til systemet ved hjelp av noe mer komplekst enn nettleserne deres.

Dessverre eksisterte nulldagershullet i MOVEits nettbaserte kode, slik at alle som hadde aktivert nettbasert tilgang utilsiktet eksponerte bedriftens fildatabaser for eksternt injiserte SQL-kommandoer.

Tilsynelatende er mer enn 130 selskaper nå mistenkt for å ha blitt stjålet data før MOVEit zero-day ble oppdaget og lappet.

Mange av ofrene ser ut til å være ansatte hvis lønnsopplysninger ble brutt og stjålet – ikke fordi deres egen arbeidsgiver var en MOVEit-kunde, men fordi arbeidsgiverens utkontrakterte lønnsbehandler var det, og dataene deres ble stjålet fra den leverandørens lønnsdatabase.

Videre ser det ut til at i det minste noen av organisasjonene som ble hacket på denne måten (enten direkte via sitt eget MOVEit-oppsett, eller indirekte via en av deres tjenesteleverandører) var amerikanske offentlige tjenesteorganer.

Belønning å vinne

Denne kombinasjonen av omstendigheter førte til at US Rewards for Justice (RFJ)-teamet, en del av det amerikanske utenriksdepartementet (ditt lands ekvivalent kan gå under navnet Foreign Affairs eller Foreign Ministry), minnet alle på Twitter på følgende måte:

RFJ-ene sier egen nettside, som sitert i tweeten ovenfor:

Rewards for Justice tilbyr en belønning på opptil 10 millioner dollar for informasjon som fører til identifikasjon eller plassering av enhver person som, mens han handler etter eller under kontroll av en utenlandsk regjering, deltar i ondsinnede cyberaktiviteter mot amerikansk kritisk infrastruktur i brudd. av Computer Fraud and Abuse Act (CFAA).

Hvorvidt informanter kan ende opp med flere multipler på $10,000,000 hvis de identifiserer flere lovbrytere er ikke klart, og hver belønning er spesifisert som "opptil" $10 millioner i stedet for en ufortynnet $10 millioner hver gang...

…men det blir interessant å se om noen bestemmer seg for å prøve å kreve pengene.