Lunnasohjelma on haittaohjelmisto, joka on suunniteltu lukitsemaan tietokoneen tai järjestelmän tiedostot, kunnes lunnaat on maksettu. Yksi ensimmäisistä koskaan dokumentoiduista lunnaita oli vuoden 1989 PC Cyborg - se vaati niukkaa 189 dollarin lunnaamaksua lukittujen tiedostojen salauksen purkamiseksi.

Tietotekniikka on edennyt pitkälle vuodesta 1989, ja ransomware on kehittynyt sen mukana, mikä on johtanut monimutkaisiin ja tehokkaisiin muunnelmiin, kuten WastedLocker. Joten miten WastedLocker toimii? Keihin se on vaikuttanut? Ja miten voit suojata laitteesi?

Mikä on WastedLocker ja miten se toimii?

WasteLockerin havaitsi ensimmäisen kerran vuoden 2020 alussa, ja sitä käyttää pahamaineinen hakkeriryhmä Evil Corp, joka tunnetaan myös nimellä INDRIK SPIDER tai Dridex -jengi ja jolla on todennäköisesti siteitä Venäjän tiedustelupalveluihin.

Yhdysvaltain valtiovarainministeriön ulkomaisten varojen valvontavirasto määräsi pakotteita Evil Corp: lle vuonna 2019 ja oikeusministeriö syytti väitettyä johtajaansa Maksim Yakubetsia, joka on pakottanut ryhmän muuttamaan taktiikkaa.

WastedLocker -hyökkäykset alkavat tyypillisesti SocGholishilla, etäkäyttö troijalaisella (RAT), joka esiintyy selaimen ja Flash -päivitysten avulla huijatakseen kohteen lataamaan haitallisia tiedostoja.

LIITTYVÄT: Mikä on etäkäyttöinen troijalainen?

Kun kohde lataa väärennetyn päivityksen, WastedLocker salaa tehokkaasti kaikki tietokoneessa olevat tiedostot ja lisää niihin "hukkaan", joka näyttää olevan nyökkäys Grand Theft Auto -videopelin innoittamille Internet -meemeille sarja.

Joten esimerkiksi tiedosto, jonka alkuperäinen nimi oli "muo.docx", näyttäisi "muo.docx.wasted" vaarantuneella koneella.

WasteLocker käyttää tiedostojen lukitsemiseen AES (Advanced Encryption Standard) ja Rivest-Shamir-Adleman (RSA) -salausalgoritmit, mikä tekee salauksen purkamisesta käytännössä mahdotonta ilman pahaa Corp: n yksityinen avain.

Rahoituslaitokset ja hallitukset käyttävät AES -salausalgoritmia - esimerkiksi National Security Agency (NSA) käyttää sitä erittäin salaisten tietojen suojaamiseen.

Nimetty kolmen Massachusetts Institute of Technologyn (MIT) tiedemiehen mukaan, jotka kuvasivat sen ensimmäisen kerran julkisesti 1970 -luvulla RSA -salausalgoritmi on huomattavasti hitaampi kuin AES ja sitä käytetään enimmäkseen salaamaan pieniä määriä tiedot.

WastedLocker jättää lunnaatiedot jokaisesta salatusta tiedostosta ja ohjaa uhrin ottamaan yhteyttä hyökkääjiin. Viesti sisältää tyypillisesti Protonmail-, Eclipso- tai Tutanota -sähköpostiosoitteen.

Lunnaat muistiinpanot ovat yleensä räätälöityjä, niissä mainitaan kohdeorganisaatio nimeltä ja ne varoittavat ottamasta yhteyttä viranomaisiin tai jakamasta sähköpostiviestejä kolmansien osapuolien kanssa.

Suuria yrityksiä varten suunniteltu haittaohjelma vaatii yleensä jopa 10 miljoonan dollarin lunnaita.

WastedLockerin korkean profiilin hyökkäykset

Kesäkuussa 2020, Symantec paljasti 31 WastedLocker-hyökkäystä yhdysvaltalaisia ​​yrityksiä vastaan. Valtaosa kohdeorganisaatioista oli suuria kotitalouksien nimiä ja 11 Fortune 500 -yritystä.

Lunnasohjelma kohdistui eri alojen yrityksiin, mukaan lukien valmistus, tietotekniikka sekä media ja tietoliikenne.

Evil Corp rikkoi kohdeyritysten verkostoja, mutta Symantec onnistui estämään hakkereita käyttämästä WastedLockeria ja pitämästä tietoja lunnaiksi.

Todellinen hyökkäysten kokonaismäärä voi olla paljon suurempi, koska ransomware on otettu käyttöön kymmenien suosittujen, laillisten uutissivustojen kautta.

Sanomattakin on selvää, että miljardien dollareiden arvoisilla yrityksillä on huippuluokan suoja, mikä kertoo paljon siitä, kuinka vaarallinen WastedLocker on.

Samana kesänä Evil Corp lähetti WastedLockerin amerikkalaista GPS- ja kuntoseurantayritystä Garminia vastaan, jonka vuotuisten tulojen arvioidaan olevan yli 4 miljardia dollaria.

Israelin kyberturvallisuusyrityksenä Votiro huomautti tuolloin, että hyökkäys lamautti Garminin. Se häiritsi monia yhtiön palveluita ja vaikutti jopa puhelinkeskuksiin ja joihinkin tuotantolinjoihin Aasiassa.

Garmin maksoi 10 miljoonan dollarin lunnaat saadakseen takaisin käyttöjärjestelmänsä. Yrityksen palvelujen käynnistäminen kesti päiviä, mikä oletettavasti aiheutti suuria taloudellisia tappioita.

Vaikka Garmin ilmeisesti ajatteli, että lunnaiden maksaminen oli paras ja tehokkain tapa käsitellä tilannetta, on tärkeää huomata että tietoverkkorikollisiin ei pitäisi koskaan luottaa - joskus heillä ei ole kannustinta antaa salauksen avainta lunnaiden saamisen jälkeen maksu.

Yleensä paras tapa toimia kyberhyökkäyksen sattuessa on ottaa välittömästi yhteyttä viranomaisiin.

Lisäksi hallitukset ympäri maailmaa määräävät pakotteita hakkeriryhmiä vastaan ​​ja joskus näitä pakotteita koskee myös henkilöitä, jotka lähettävät tai helpottavat lunnaita, joten niihin liittyy myös oikeudellisia riskejä harkita.

Mikä on Hades Variant Ransomware?

Joulukuussa 2020 tietoturvatutkijat havaitsivat uuden lunnasohjelmaversion, nimeltään Hades (ei saa olla) sekoitetaan vuoden 2016 Hades Lockeriin, joka yleensä lähetetään sähköpostitse MS Word -muodossa liite).

Analyysi käyttäjältä CrowdStrike havaitsi, että Hades on pohjimmiltaan 64-bittinen WastedLocker-versio, mutta havaitsi useita keskeisiä eroja näiden kahden haittaohjelmauhan välillä.

Esimerkiksi toisin kuin WastedLocker, Hades ei jätä lunnaita muistiinpanoa jokaisesta salatusta tiedostosta - se luo yhden lunnaita koskevan huomautuksen. Ja se tallentaa avaintiedot salattuihin tiedostoihin sen sijaan, että ne talletettaisiin lunnaita koskevaan muistiinpanoon.

Hades -muunnelma ei jätä yhteystietoja; se ohjaa uhrit Tor -sivustoon, joka on räätälöity kullekin kohteelle. Tor -sivuston avulla uhri voi purkaa yhden tiedoston salauksen ilmaiseksi, mikä on ilmeisesti tapa Evil Corp: lle osoittaa, että sen salauksen purkutyökalut todella toimivat.

Hades on kohdistanut pääasiassa suuria yhdysvaltalaisia ​​organisaatioita, joiden vuotuiset tulot ylittävät 1 dollarin miljardia euroa, ja sen käyttöönotto merkitsi jälleen Evil Corp: n luovaa yritystä muuttaa brändiä ja kiertää sitä pakotteita.

Kuinka suojautua WastedLockerilta

Kyberhyökkäykset lisääntyvät ja investoivat ransomware -suojaustyökaluja on ehdoton pakko. On myös välttämätöntä pitää ohjelmisto ajan tasalla kaikilla laitteilla, jotta estetään tietoverkkorikolliset hyödyntämästä tunnettuja haavoittuvuuksia.

Kehittyneet lunnasohjelmavaihtoehdot, kuten WastedLocker ja Hades, voivat liikkua sivusuunnassa, mikä tarkoittaa, että he voivat käyttää kaikkia verkon tietoja, mukaan lukien pilvitallennus. Siksi offline -varmuuskopion ylläpito on paras tapa suojata tärkeät tiedot tunkeilijoilta.

Koska työntekijät ovat yleisin syy rikkomuksiin, organisaatioiden tulisi investoida aikaa ja resursseja henkilöstön kouluttamiseen peruskäytännöistä.

Viime kädessä Zero Trust -suojausmallin käyttöönotto on kiistatta paras tapa varmistaa organisaatio on suojattu kyberhyökkäyksiltä, ​​mukaan lukien Evil Corp: n ja muiden valtion sponsoroimien hakkereiden hyökkäyksiltä ryhmiä.

JaaTweetSähköposti
Mikä on Zero Trust Network ja miten se suojaa tietojasi?

Haluatko suojata yrityksesi tietoverkkorikollisilta? VPN-verkot ovat hienoja, mutta ne eivät ehkä ole yhtä tehokkaita kuin ZTN-verkot, joissa on ohjelmisto-määritetyt kehät.

Lue seuraava

Liittyvät aiheet
  • Turvallisuus
  • Ransomware
  • Online -suojaus
  • Haittaohjelma
  • Tietoturva
Kirjailijasta
Damir Mujezinovic (10 artikkelia julkaistu)

Damir on freelance -kirjoittaja ja toimittaja, jonka työ keskittyy kyberturvallisuuteen. Kirjoittamisen lisäksi hän nauttii lukemisesta, musiikista ja elokuvista.

Lisää Damir Mujezinovicilta

tilaa uutiskirjeemme

Liity uutiskirjeeseemme saadaksesi teknisiä vinkkejä, arvosteluja, ilmaisia ​​e -kirjoja ja ainutlaatuisia tarjouksia!

Klikkaa tästä tilataksesi