Interested In $10,000,000? Ready To Turn In The Clop Ransomware Crew?

Opublikowane ponownie przez Plato

Obserwuje: 0

Najnowsze głośne exploity cyberprzestępczości przypisywane załodze Clop ransomware nie są tradycyjnym rodzajem ataków ransomware (jeśli „tradycyjne” jest właściwym słowem dla mechanizmu wymuszeń, który sięga zaledwie 1989 roku).

Konwencjonalne ataki ransomware polegają na zaszyfrowaniu plików, całkowitym wykolejeniu firmy i pojawieniu się komunikatu informującego, że dostępny jest klucz odszyfrowywania danych…

…za zwykle oszałamiającą kwotę pieniędzy.

.s-przycisk+.s-przycisk { margines lewy: .3125rem; } .s-button { przejście: wszystkie .15s liniowe; rozmiar czcionki: 875 rem; wysokość linii: 1.5; kolor: #f2f2f2; rodzina czcionek: SophosSansMedium, Helvetica Neue, Helvetica, Arial, bezszeryfowy; grubość czcionki: 400; styl czcionki: normalny; wyświetlacz: inline-block; wypełnienie: .3125rem 1.25rem; kursor: wskaźnik; wyrównanie tekstu: środek; dekoracja tekstu: brak; obramowanie: 1px stałe #005bc8; promień obramowania: 3px; kolor tła: #005bc8; cień tekstu: brak; } .s-button:hover { dekoracja tekstu: brak; kolor: #fff; kolor obramowania: #002d62; kolor tła: #002d62; } .s-button–white, .s-button–white:hover { color: #005bc8 !ważne; kolor obramowania: #fff; kolor tła: #fff; } .s-ad-sophos-mdr { rozmiar-czcionki: 1rem; wysokość linii: 1.5; kolor: #242629; rodzina czcionek: SophosSansRegular, Helvetica Neue, Helvetica, Arial, bezszeryfowy; grubość czcionki: 400; styl czcionki: normalny; pozycja: względna; maksymalna szerokość: 769px; margines: 15px auto; padding: 30px 30px 25px; przejście: box-shadow .25s sześcienny-bezier( .645, .045, .355, 1 ); wyrównanie tekstu: środek; kolor tła: #0d141d; powtarzanie w tle: bez powtórzeń; pozycja tła: 50%; rozmiar tła: okładka; cień pudełka: 0 0 0 0 0 przezroczysty; kolor tła: #005bc8; obraz tła: brak; pozycja tła: 0 0; } .s-ad-sophos-mdr__title { rozmiar-czcionki: 2rem; wysokość linii: 1.125; margines-dolny: 4px; kolor: #fff; } .s-ad-sophos-mdr__text { rodzina czcionek: SophosSansLight, Helvetica Neue, Helvetica, Arial, bezszeryfowa; grubość czcionki: 400; styl czcionki: normalny; rozmiar czcionki: 17px; kolor: #fff; } .s-ad-sophos-mdr__action { margines-górny: 15px; } .s-ad-sophos-mdr__akcja .s-przycisk { kolor: #fff; } .s-ad-sophos-mdr__link-wrapper { dekoracja-tekstu: brak; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { box-shadow: 0 5px 10px 0 rgba( 0, 0, 0, .15 ); } .s-ad-sophos-mdr__sophos-logo { pozycja: bezwzględna; góra: 15px; prawy: 15px; } .s-ad-sophos-mdr__sophos-logo-svg { display: inline-block; szerokość: 64px; wysokość: 11px; wyrównanie w pionie: góra; powtarzanie w tle: bez powtórzeń; rozmiar tła: 64px 11px; } .s-ad-sophos-mdr__title { rodzina czcionek: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, bezszeryfowy; grubość czcionki: 400; styl czcionki: normalny; rozmiar czcionki: 28px; grubość czcionki: 700; wysokość linii: 1; margines-dolny: 10px; wyrównanie tekstu: do lewej; } .s-ad-sophos-mdr__title svg { maksymalna szerokość: 100%; } .s-ad-sophos-mdr__text { rozmiar-czcionki: 16px; wysokość linii: 1.25; wyrównanie tekstu: do lewej; } .s-ad-sophos-mdr__action { wyrównanie tekstu: prawo; } .s-ad-sophos-mdr .s-button { border-radius: 20px; } @media (min-szerokość:769px) { .s-ad-sophos-mdr__text { margines-prawy: 140px; } .s-ad-sophos-mdr__action { pozycja: bezwzględna; prawy: 30px; dół: 30px; } } @media (max-width:768px) { .s-ad-sophos-mdr { padding-top: 50px; } .s-ad-sophos-mdr__title { rozmiar-czcionki: 1.625rem; } .s-ad-sophos-mdr__text { rozmiar-czcionki: 16px; } .s-ad-sophos-mdr { padding-top: 30px; } }

Ewolucja przestępcza

Jak możesz sobie wyobrazić, biorąc pod uwagę to ransomware powraca do czasów, zanim wszyscy mieli dostęp do Internetu (i kiedy ci, którzy byli online, mieli prędkość przesyłania danych mierzoną nie w gigabitach ani nawet megabitach na sekundę, ale często tylko w kilobitach), pomysł szyfrowania plików tam, gdzie się znajdują, był nikczemną sztuczką Oszczędzaj czas.

Przestępcy uzyskali pełną kontrolę nad Twoimi danymi, bez konieczności uprzedniego przesyłania wszystkiego, a następnie nadpisywania oryginalnych plików na dysku.

Co więcej, oszuści mogą atakować setki, tysiące, a nawet miliony komputerów jednocześnie i nie muszą przechowywać wszystkich twoich danych w nadziei, że ci je „odsprzedają”. (Zanim przechowywanie w chmurze stało się usługą konsumencką, miejsce na dysku na kopie zapasowe było drogie i nie można było go łatwo uzyskać na żądanie w jednej chwili).

Jak na ironię, ofiary oprogramowania ransomware szyfrującego pliki stają się niechętnymi strażnikami więziennymi swoich danych.

Ich pliki są kusząco pozostawiane w zasięgu ręki, często z oryginalnymi nazwami plików (choć z dodatkowym rozszerzeniem, takim jak .locked dodany na końcu, aby wcierać sól w ranę), ale całkowicie niezrozumiały dla aplikacji, które zwykle je otwierają.

Ale w dzisiejszym świecie przetwarzania w chmurze cyberataki, w których oszuści ransomware faktycznie pobierają kopie wszystkich lub przynajmniej wielu ważnych plików, są nie tylko technicznie możliwe, ale są powszechne.

Żeby było jasne, w wielu, jeśli nie w większości przypadków, osoby atakujące szyfrują również twoje pliki lokalne, ponieważ mogą.

W końcu szyfrowanie plików na tysiącach komputerów jednocześnie jest generalnie znacznie szybsze niż przesyłanie ich wszystkich do chmury.

Lokalne urządzenia pamięci masowej zazwyczaj zapewniają przepustowość danych rzędu kilku gigabitów na sekundę na dysk na komputer, podczas gdy wiele sieci korporacyjnych ma połączenie internetowe o przepustowości kilkuset megabitów na sekundę lub nawet mniej, dzielone między wszystkich.

Zaszyfrowanie wszystkich plików na wszystkich laptopach i serwerach we wszystkich sieciach oznacza, że osoby atakujące mogą szantażować Cię na podstawie bankructwa Twojej firmy, jeśli nie będziesz w stanie odzyskać swoich kopii zapasowych na czas.

(Dzisiejsi oszuści ransomware często robią wszystko, co w ich mocy, aby zniszczyć jak najwięcej danych z kopii zapasowych, ile mogą znaleźć, zanim zaszyfrują plik).

Pierwsza warstwa szantażu mówi: „Zapłać, a otrzymasz od nas klucze deszyfrujące potrzebne do odtworzenia wszystkich plików dokładnie tam, gdzie się znajdują na każdym komputerze, więc nawet jeśli masz powolne, częściowe kopie zapasowe lub nie masz ich wcale, wkrótce znów będziesz działać; odmów zapłaty, a twoje operacje biznesowe pozostaną tam, gdzie są, martwe w wodzie”.

Jednocześnie, nawet jeśli oszuści mają czas tylko na kradzież niektórych z najciekawszych plików z niektórych z najciekawszych komputerów, mimo to dostają drugi miecz Damoklesa, który trzyma nad twoją głową.

Ta druga warstwa szantażu polega na tym, „Zapłać, a my obiecujemy usunąć skradzione dane; odmówimy zapłaty, a my nie tylko będziemy się tego trzymać, ale zwariujemy z tym”.

Oszuści zazwyczaj grożą, że sprzedadzą Twoje trofea innym przestępcom, przekażą je organom regulacyjnym i mediom w Twoim kraju lub po prostu opublikują je online, aby każdy mógł je pobrać i zjeść.

Zapomnij o szyfrowaniu

W przypadku niektórych ataków cybernetycznych przestępcy, którzy już ukradli Twoje dane, albo pomijają część szyfrowania plików, albo nie są w stanie tego zrobić.

W takim przypadku ofiary są szantażowane tylko na podstawie uciszenia oszustów, a nie odzyskania plików w celu ponownego uruchomienia firmy.

Wydaje się, że tak właśnie stało się w ostatnim głośnym Ataki MOVEit, gdzie gang Clop lub jego podmioty stowarzyszone wiedziały o możliwej do wykorzystania luce dnia zerowego w oprogramowaniu znanym jako MOVEit…

…tak się składa, że chodzi o przesyłanie, zarządzanie i bezpieczne udostępnianie danych firmowych, w tym komponent, który umożliwia użytkownikom dostęp do systemu za pomocą niczego bardziej złożonego niż ich przeglądarki internetowe.

Niestety, w internetowym kodzie MOVEit istniała luka dnia zerowego, więc każdy, kto aktywował dostęp przez Internet, nieumyślnie narażał swoje korporacyjne bazy danych plików na zdalnie wstrzykiwane polecenia SQL.

Najwyraźniej podejrzewa się, że ponad 130 firm ukradło dane, zanim wykryto i załatano MOVEit zero-day.

Wydaje się, że wiele ofiar to pracownicy, których dane listy płac zostały naruszone i skradzione – nie dlatego, że ich własny pracodawca był klientem MOVEit, ale dlatego, że zlecony na zewnątrz podmiot przetwarzający listy płac był, a ich dane zostały skradzione z bazy danych tego dostawcy.

Co więcej, wydaje się, że przynajmniej niektóre z organizacji, które zhakowano w ten sposób (bezpośrednio poprzez własną konfigurację MOVEit lub pośrednio za pośrednictwem jednego z ich dostawców usług) były amerykańskimi organami użyteczności publicznej.

Nagroda do zgarnięcia

Ta kombinacja okoliczności doprowadziła do tego, że zespół US Rewards for Justice (RFJ), będący częścią Departamentu Stanu USA (odpowiednik twojego kraju może nosić nazwę Foreign Affairs lub Foreign Ministry), przypomniał wszystkim na Twitterze, co następuje:

RFJ mówi własna strona internetowa, jak zacytowano w powyższym tweecie:

Rewards for Justice oferuje nagrodę w wysokości do 10 milionów USD za informacje prowadzące do identyfikacji lub lokalizacji jakiejkolwiek osoby, która działając na polecenie lub pod kontrolą obcego rządu, uczestniczy w złośliwych działaniach cybernetycznych przeciwko infrastrukturze krytycznej Stanów Zjednoczonych z naruszeniem ustawy o oszustwach i nadużyciach komputerowych (CFAA).

Nie jest jasne, czy informatorzy mogliby otrzymać kilka wielokrotności 10,000,000 10 10 dolarów, jeśli zidentyfikują wielu przestępców, a każda nagroda jest określona jako „do” XNUMX milionów dolarów, a nie nierozcieńczone XNUMX milionów dolarów za każdym razem…

…ale ciekawe będzie, czy ktoś zdecyduje się ubiegać o pieniądze.