Interested In $10,000,000? Ready To Turn In The Clop Ransomware Crew?

Перевидано Платоном

читають: 0

Останній гучний кіберзлочинні експлойти які приписують команді програм-вимагачів Clop, не є вашим традиційним типом атак програм-вимагачів (якщо «традиційний» є правильним словом для механізму вимагання, який бере свій початок лише з 1989 року).

Під час звичайних атак програм-вимагачів ваші файли шифруються, ваш бізнес повністю руйнується, і з’являється повідомлення про доступність ключа розшифровки ваших даних…

…за те, що зазвичай є приголомшливою сумою грошей.

.s-button+.s-button { margin-left: .3125rem; } .s-button { перехід: усі .15s лінійні; розмір шрифту: .875rem; висота лінії: 1.5; колір: #f2f2f2; сімейство шрифтів: SophosSansMedium, Helvetica Neue, Helvetica, Arial, sans-serif; товщина шрифту: 400; стиль шрифту: нормальний; дисплей: inline-block; прокладка: .3125rem 1.25rem; курсор: покажчик; вирівнювання тексту: центр; текст-оздоблення: немає; межа: суцільна 1px #005bc8; border-radius: 3px; колір фону: #005bc8; text-shadow: немає; } .s-button:hover { оформлення тексту: немає; колір: #fff; колір рамки: #002d62; колір фону: #002d62; } .s-button–white, .s-button–white:hover { колір: #005bc8 !важливо; колір рамки: #fff; колір фону: #fff; } .s-ad-sophos-mdr { font-size: 1rem; висота лінії: 1.5; колір: #242629; сімейство шрифтів: SophosSansRegular, Helvetica Neue, Helvetica, Arial, sans-serif; товщина шрифту: 400; стиль шрифту: нормальний; положення: відносне; максимальна ширина: 769 пікселів; поле: 15 пікселів автоматично; padding: 30px 30px 25px; перехід: box-shadow .25s cubic-bezier( .645, .045, .355, 1); вирівнювання тексту: центр; колір фону: #0d141d; фоновий повтор: немає повтору; фонове положення: 50%; розмір фону: обкладинка; box-shadow: 0 0 0 0 0 прозорий; колір фону: #005bc8; фонове зображення: немає; фонова позиція: 0 0; } .s-ad-sophos-mdr__title { font-size: 2rem; висота лінії: 1.125; margin-bottom: 4px; колір: #fff; } .s-ad-sophos-mdr__text { сімейство шрифтів: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; товщина шрифту: 400; стиль шрифту: нормальний; розмір шрифту: 17px; колір: #fff; } .s-ad-sophos-mdr__action { margin-top: 15px; } .s-ad-sophos-mdr__action .s-button { колір: #fff; } .s-ad-sophos-mdr__link-wrapper { оформлення тексту: немає; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { box-shadow: 0 5px 10px 0 rgba( 0, 0, 0, .15 ); } .s-ad-sophos-mdr__sophos-logo { позиція: абсолютна; зверху: 15 пікселів; справа: 15 пікселів; } .s-ad-sophos-mdr__sophos-logo-svg { відображення: inline-block; ширина: 64px; висота: 11px; вертикальне вирівнювання: зверху; фоновий повтор: немає повтору; розмір фону: 64px 11px; } .s-ad-sophos-mdr__title { сімейство шрифтів: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; товщина шрифту: 400; стиль шрифту: нормальний; розмір шрифту: 28px; товщина шрифту: 700; висота лінії: 1; margin-bottom: 10px; вирівнювання тексту: ліворуч; } .s-ad-sophos-mdr__title svg { максимальна ширина: 100%; } .s-ad-sophos-mdr__text { font-size: 16px; висота лінії: 1.25; вирівнювання тексту: ліворуч; } .s-ad-sophos-mdr__action { вирівнювання тексту: праворуч; } .s-ad-sophos-mdr .s-button { border-radius: 20px; } @media (min-width:769px) { .s-ad-sophos-mdr__text { margin-right: 140px; } .s-ad-sophos-mdr__action { позиція: абсолютна; справа: 30 пікселів; знизу: 30 пікселів; } } @media (max-width:768px) { .s-ad-sophos-mdr { padding-top: 50px; } .s-ad-sophos-mdr__title { розмір шрифту: 1.625 rem; } .s-ad-sophos-mdr__text { font-size: 16px; } .s-ad-sophos-mdr { padding-top: 30px; }}

Кримінальна еволюція

Як ви можете собі уявити, враховуючи це програма-вимагач повертається за днів до того, як усі мали доступ до Інтернету (і коли ті, хто був онлайн, мали швидкість передачі даних, яка вимірювалася не в гігабітах і навіть не мегабітах на секунду, а часто просто в кілобітах), ідея шифрування ваших файлів там, де вони лежать, була підлим трюком для економити час.

Зловмисники отримали повний контроль над вашими даними, не потребуючи спочатку завантажувати все, а потім перезаписувати оригінальні файли на диску.

Що ще краще для шахраїв, вони могли переслідувати сотні, тисячі чи навіть мільйони комп’ютерів одночасно, і їм не потрібно було зберігати всі ваші дані в надії «продати їх назад» вам. (До того, як хмарне сховище стало споживчим сервісом, дисковий простір для резервного копіювання був дорогим, і його не можна було легко отримати за запитом миттєво.)

Жертви програм-вимагачів, що шифрують файли, за іронією долі, в кінцевому підсумку діють як неохочі тюремні наглядачі власних даних.

Їхні файли спокусливо залишаються під рукою, часто з оригінальними назвами файлів (хоча й із додатковим розширенням, наприклад .locked додані в кінці, щоб насипати сіль на рану), але абсолютно незрозумілі для додатків, які зазвичай їх відкривають.

Але в сучасному світі хмарних обчислень кібератаки, під час яких шахраї-вимагачі фактично беруть копії всіх чи принаймні багатьох ваших життєво важливих файлів, не лише технічно можливі, але й звичайні.

Щоб було зрозуміло, у багатьох, якщо не в більшості випадків, зловмисники також кодують ваші локальні файли, тому що вони можуть.

Зрештою, шифрування файлів на тисячах комп’ютерів одночасно, як правило, набагато швидше, ніж завантаження їх усіх у хмару.

Локальні пристрої зберігання зазвичай забезпечують пропускну здатність даних у кілька гігабітів на секунду на диск на комп’ютер, тоді як у багатьох корпоративних мережах доступ до Інтернету становить кілька сотень мегабітів на секунду або навіть менше, спільний для всіх.

Шифрування всіх ваших файлів на всіх ваших ноутбуках і серверах у всіх ваших мережах означає, що зловмисники можуть шантажувати вас, зводячи до банкрутства ваш бізнес, якщо ви не зможете вчасно відновити резервні копії.

(Сьогоднішні шахраї-вимагачі часто роблять усе можливе, щоб знищити якомога більше ваших резервних копій даних, які вони можуть знайти, перш ніж виконати частину файлів.)

Перший шар шантажу говорить: «Сплатіть, і ми дамо вам ключі розшифровки, необхідні для відновлення всіх ваших файлів там, де вони знаходяться на кожному комп’ютері, тож навіть якщо резервне копіювання виконується повільно, частково або взагалі не створюється, незабаром ви знову запрацюєте; відмовитися платити, і ваші бізнес-операції залишаться там, де вони є, мертвими у воді».

У той же час, навіть якщо шахраї встигають викрасти деякі з ваших найцікавіших файлів з деяких з ваших найцікавіших комп’ютерів, вони все одно отримують другий дамоклів меч, щоб тримати над вашою головою.

Цей другий рівень шантажу йде за такими лініями, «Заплатіть, і ми обіцяємо видалити вкрадені дані; відмовитися платити, і ми не просто будемо тримати його, ми підемо з ним».

Зазвичай шахраї погрожують продати дані про ваші трофеї іншим злочинцям, передати їх регуляторам і ЗМІ у вашій країні або просто опублікувати їх відкрито в Інтернеті, щоб будь-хто міг завантажити та поласувати ними.

Забудьте про шифрування

У деяких атаках кібервимагання злочинці, які вже вкрали ваші дані, або пропускають частину шифрування файлів, або не можуть це зробити.

У цьому випадку жертв шантажують лише тому, що вони намагаються замовчати шахраїв, а не тому, що хочуть повернути свої файли, щоб відновити свій бізнес.

Схоже, що це сталося в останній резонанс MOVEit атакує, де банда Клопа або їхні філії знали про вразливість нульового дня в програмному забезпеченні під назвою MOVEit…

…випадково все це пов’язано із завантаженням, керуванням і безпечним обміном корпоративними даними, включаючи компонент, який дозволяє користувачам отримувати доступ до системи за допомогою нічого складнішого, ніж їхні веб-браузери.

На жаль, діра нульового дня існувала в веб-коді MOVEit, тож будь-хто, хто активував веб-доступ, ненавмисно піддавав свої корпоративні файлові бази даних віддалено введеним командам SQL.

Мабуть, більше 130 компаній зараз підозрюють у викраденні даних до того, як MOVEit нульового дня було виявлено та виправлено.

Багато з жертв, схоже, були працівниками, чиї відомості про заробітну плату були зламані та викрадені — не тому, що їхній власний роботодавець був клієнтом MOVEit, а тому, що аутсорсинговий процесор нарахування заробітної плати був ним, і їхні дані були вкрадені з бази даних цього постачальника.

Більше того, здається, що принаймні деякі з організацій, зламаних таким чином (безпосередньо через їх власне налаштування MOVEit, чи опосередковано через одного з їхніх постачальників послуг), були державними службами США.

Нагорода за захоплення

Такий збіг обставин призвів до того, що команда US Rewards for Justice (RFJ), що входить до складу Державного департаменту США (еквівалент вашої країни може мати назву Foreign Affairs або Foreign Affairs), нагадала всім у Twitter наступне:

RFJ говорить власний веб-сайт, як цитується в твіті вище:

Rewards for Justice пропонує винагороду в розмірі до 10 мільйонів доларів США за інформацію, яка допоможе ідентифікувати або визначити місцезнаходження будь-якої особи, яка, діючи за вказівками або під контролем іноземного уряду, бере участь у зловмисних кібер-діяльності проти критичної інфраструктури США з порушенням. Закону про комп’ютерне шахрайство та зловживання (CFAA).

Незрозуміло, чи можуть інформатори отримати кілька кратних 10,000,000 10 10 доларів США, якщо вони ідентифікують кількох правопорушників, і кожна винагорода вказується як «до» XNUMX мільйонів доларів, а не як чисті XNUMX мільйонів доларів щоразу...

…але буде цікаво подивитися, чи хтось вирішить спробувати вимагати гроші.