WastedLocker: o variantă complexă de ransomware care vizează corporațiile mari

Ransomware este un tip de software rău intenționat conceput pentru a bloca fișierele de pe un computer sau un sistem până la plata unei răscumpărări. Unul dintre primele răscumpărări documentate vreodată a fost PC Cyborg din 1989 - a cerut o plată de răscumpărare de 189 USD pentru a decripta fișierele blocate.

Tehnologia calculatoarelor a parcurs un drum lung din 1989 și ransomware-ul a evoluat odată cu acesta, ducând la variante complexe și puternice precum WastedLocker. Deci, cum funcționează WastedLocker? Cine a fost afectat de aceasta? Și cum vă puteți proteja dispozitivele?

Ce este WastedLocker și cum funcționează?

Descoperit pentru prima dată la începutul anului 2020, WastedLocker este operat de notorii grupul de hackeri Evil Corp, care este, de asemenea, cunoscut sub numele de INDRIK SPIDER sau banda Dridex și, cel mai probabil, are legături cu agențiile de informații rusești.

Biroul de control al activelor străine al Departamentului Trezoreriei Statelor Unite a emis sancțiuni împotriva Evil Corp în 2019 iar Departamentul de Justiție l-a acuzat pe presupusul său lider Maksim Yakubets, care a forțat grupul să schimbe tactica.

Atacurile WastedLocker încep de obicei cu SocGholish, un troian de acces la distanță (RAT), care utilizează actualizări de browser și Flash pentru a păcăli ținta să descarce fișiere rău intenționate.

LEGATE DE: Ce este un troian cu acces la distanță?

Odată ce ținta descarcă actualizarea falsă, WastedLocker criptează eficient toate fișierele de pe computerul și le adaugă cu „risipit”, ceea ce pare a fi un semn din cap la memele de pe internet inspirate de jocul video Grand Theft Auto serie.

De exemplu, un fișier numit inițial „muo.docx” ar apărea ca „muo.docx.wasted” pe o mașină compromisă.

Pentru a bloca fișiere, WastedLocker folosește o combinație de Advanced Encryption Standard (AES) și Algoritmi de criptare Rivest-Shamir-Adleman (RSA), ceea ce face decriptarea practic imposibilă fără Evil Cheia privată a corpului.

Algoritmul de criptare AES este utilizat de instituțiile financiare și de guverne - Agenția Națională de Securitate (NSA), de exemplu, îl folosește pentru a proteja informațiile de top secret.

Numit după trei oameni de știință ai Institutului de Tehnologie din Massachusetts (MIT), care au descris-o public pentru prima dată în În anii 1970, algoritmul de criptare RSA este considerabil mai lent decât AES și este utilizat mai ales pentru a cripta cantități mici de date.

WastedLocker lasă o notă de răscumpărare pentru fiecare fișier pe care îl criptează și îndeamnă victima să contacteze atacatorii. Mesajul conține de obicei o adresă de e-mail Protonmail, Eclipso sau Tutanota.

Notele de răscumpărare sunt de obicei personalizate, menționează organizația țintă după nume și avertizează împotriva contactării autorităților sau a partajării e-mailurilor de contact cu terți.

Conceput pentru a viza companii mari, malware-ul necesită de obicei plăți de răscumpărare de până la 10 milioane de dolari.

Atacurile de profil înalt ale lui WastedLocker

În iunie 2020, Symantec a descoperit 31 de atacuri WastedLocker asupra companiilor din SUA. Marea majoritate a organizațiilor vizate erau nume mari de familie și 11 erau companii Fortune 500.

Ransomware-ul a vizat companiile din diverse sectoare, inclusiv producția, tehnologia informației și mass-media și telecomunicațiile.

Evil Corp a încălcat rețelele companiilor vizate, dar Symantec a reușit să împiedice hackerii să implementeze WastedLocker și să dețină date pentru răscumpărare.

Numărul real real de atacuri poate fi mult mai mare, deoarece ransomware-ul a fost implementat prin zeci de site-uri de știri populare, legitime.

Inutil să spun că companiile care valorează miliarde de dolari au protecție de top, ceea ce spune multe despre cât de periculos este WastedLocker.

În aceeași vară, Evil Corp a lansat WastedLocker împotriva companiei americane de GPS și fitness tracker Garmin, care se estimează că va avea un venit anual de peste 4 miliarde de dolari.

În calitate de companie israeliană de securitate cibernetică Votiro remarcat la acea vreme, atacul l-a paralizat pe Garmin. A perturbat multe dintre serviciile companiei și a avut chiar un efect asupra centrelor de apeluri și a unor linii de producție din Asia.

Garmin ar fi plătit o răscumpărare de 10 milioane de dolari pentru a recâștiga accesul la sistemele sale. Companiilor le-au trebuit zile să își pună în funcțiune serviciile, ceea ce probabil a cauzat pierderi financiare masive.

Deși Garmin se pare că plata răscumpărării este cel mai bun și mai eficient mod de a aborda situația, este important de reținut că cineva nu ar trebui să aibă încredere în infractorii cibernetici - uneori nu au niciun stimulent pentru a furniza o cheie de decriptare după primirea răscumpărării plată.

În general, cel mai bun mod de acțiune în cazul unui atac cibernetic este să contactați imediat autoritățile.

În plus, guvernele din întreaga lume impun sancțiuni împotriva grupurilor de hackeri și, uneori, aceste sancțiuni se aplică și persoanelor care depun sau facilitează o plată de răscumpărare, deci există și riscuri legale pentru considera.

Ce este Hades Vans Ransomware?

În decembrie 2020, cercetătorii în domeniul securității au descoperit o nouă variantă de ransomware numită Hades (să nu fie confundat cu Hades Locker 2016, care este de obicei implementat prin e-mail sub forma unui MS Word atașament).

O analiză din CrowdStrike a constatat că Hades este în esență o variantă compilată pe 64 de biți a WastedLocker, dar a identificat mai multe diferențe cheie între aceste două amenințări malware.

De exemplu, spre deosebire de WastedLocker, Hades nu lasă o notă de răscumpărare pentru fiecare fișier pe care îl criptează - creează o singură notă de răscumpărare. Și stochează informațiile cheie în fișiere criptate, spre deosebire de stocarea lor în nota de răscumpărare.

Varianta Hades nu lasă informații de contact; în schimb, direcționează victimele către un site Tor, care este personalizat pentru fiecare țintă. Site-ul Tor permite victimei să decripteze un fișier gratuit, ceea ce este evident o modalitate prin care Evil Corp poate demonstra că instrumentele sale de decriptare funcționează efectiv.

Hades a vizat în principal organizațiile mari din SUA, cu venituri anuale de peste 1 USD miliarde, iar desfășurarea acestuia a marcat încă o altă încercare creativă a Corpului Rău de a marca și a se sustrage sancțiuni.

Cum să vă protejați împotriva WastedLocker

Cu atacurile cibernetice în creștere, investind în instrumente de protecție împotriva ransomware-ului este o necesitate absolută. De asemenea, este imperativ să mențineți software-ul actualizat pe toate dispozitivele pentru a preveni criminalii cibernetici să exploateze vulnerabilitățile cunoscute.

Variante sofisticate de ransomware precum WastedLocker și Hades au capacitatea de a se deplasa lateral, ceea ce înseamnă că pot avea acces la toate datele dintr-o rețea, inclusiv la stocarea în cloud. Acesta este motivul pentru care menținerea unei copii de rezervă offline este cea mai bună modalitate de a proteja datele importante de intruși.

Deoarece angajații sunt cea mai frecventă cauză a încălcărilor, organizațiile ar trebui să investească timp și resurse în educarea personalului cu privire la practicile de securitate de bază.

În cele din urmă, implementarea unui model de securitate Zero Trust este, fără îndoială, cel mai bun mod de a asigura o organizație este protejat împotriva atacurilor cibernetice, inclusiv a celor purtate de Evil Corp și alți hackeri sponsorizați de stat grupuri.

Ce este o rețea Zero Trust și cum vă protejează datele?

Doriți să vă protejați afacerea împotriva criminalilor cibernetici? VPN-urile sunt excelente, dar s-ar putea să nu fie la fel de eficiente ca ZTN-urile cu perimetre definite de software.

Citiți în continuare

Despre autor