2020. gadā joprojām ir kāds kriptogrāfijas elements “Mežonīgie rietumi”, jo kriptonauda, kas nozagta, izmantojot uzlaušanas un izpirkuma programmatūras uzbrukumus, joprojām tiek izmaksāta lielākajās biržās visā pasaulē. Ransomware uzbrukumi pēdējos gados ir izrādījušies ienesīga naudas govs kibernoziedzniekiem, un ASV Federālais izmeklēšanas birojs lēš, ka no 2013. gada oktobra līdz 2019. gada novembrim Bitcoin tika nozagts vairāk nekā 144 miljonu ASV dolāru vērtībā..
FBI februārī notikušajā preses konferencē tika atklāta milzīgā summa, ko cietušie, kas izmisīgi vēlējās atgūt piekļuvi viņu inficētajām sistēmām un datiem, uzbrucējiem izpirkuma naudu izmaksāja. Interesanti, ka uzbrucēji lielāko daļu izpirkuma maksas saņēma Bitcoin (BTC). Pavisam nesen pētnieki paņēma 63 ar izpirkuma programmatūru saistītu darījumu paraugu, kas sastāda aptuveni 5,7 miljonus dolāru nozagtu līdzekļu, un atklāja, ka vairāk nekā 1 miljona dolāru vērtā Bitcoin vērtība Binance tika izņemta pēc virknes darījumu dažādās maka adresēs..
Pastāv vairākas bēdīgi ransomware variācijas, kuras izmanto dažādi hakeri un kibernoziedznieku grupas. Kiberdrošības firma Kaspersky izcelts šāda veida uzbrukumu pieaugums, kas vērsti pret lielākām organizācijām jūlijā, izklāstot divus konkrētus ļaunprātīgas programmatūras draudus: VHD un Hakuna MATA.
Šie konkrētie draudi šķietami ir bāli, salīdzinot ar kriptovalūtas daudzumu, kas nozagts, izmantojot lielākus ļaunprātīgas programmatūras draudus, piemēram, Ryuk ransomware. Tātad, lūk, kāpēc Ryuk ir bijusi ieteicamā uzbrukuma metode un kā rīkoties, lai novērstu un atturētu uzbrucējus nopelnīt nelikumīgi gūtos ienākumus galvenajās apmaiņas platformās.
Trojas zirgs pie pilsētas vārtiem: Ryuk
Šie jaunākie uzbrukuma vektori, kas minēti Kaspersky jūlija ziņojumā, nav gluži ieguvuši tādu pašu reputāciju kā Ryuk ransomware. Tuvojoties 2019. gada beigām, Kaspersky izlaida vēl vienu Ziņot kas uzsvēra to pašvaldību un pilsētu likteni, kuras ir kļuvušas par izpirkuma programmatūras uzbrukumu upuriem. Uzņēmums Rjuku identificēja kā labvēlīgu uzbrukumu līdzekli lielākām organizācijām, un valdības un pašvaldību sistēmas bija galvenie mērķi 2019. gadā.
Ryuk pirmo reizi parādījās 2018. gada otrajā pusē un radīja postījumus, kad tas izplatījās pa datoru tīkliem un sistēmām visā pasaulē. Nosaukta pēc populārā varoņa Rjuka no mangu sērijas Death Note, ļaunprogrammatūra ir gudra “Nāves karaļa” uzņemšana, kurš uzjautrinās, nogādājot cilvēka valstībai “nāves zīmīti”, kas ļauj piezīmes meklētājam nogalināt ikvienu, vienkārši zinot viņu vārdu un izskatu.
Ļaunprātīgā programmatūra parasti tiek piegādāta divfāžu veidā, kas ļauj uzbrucējiem vispirms pārbaudīt tīklu. Parasti tas sākas ar lielu skaitu mašīnu, kas saņem e-pastus ar dokumentu, kuru lietotāji var neapzināti lejupielādēt. Pielikumā ir ļaunprātīgas programmatūras bots Emotet Trojan, kas aktivizējas, ja fails tiek lejupielādēts.
Uzbrukuma otrajā posmā Emotet bots sazinās ar saviem serveriem, lai instalētu vēl vienu ļaunprātīgu programmatūru, kas pazīstama kā Trickbot. Šī ir programmatūra, kas ļauj uzbrucējiem veikt tīkla pārbaudi.
Ja uzbrucēji iesitīs sakāmvārdu medus podā – t.i., liela biznesa, valdības vai pašvaldības biroja tīklā – pati Ryuk izpirkšanas programmatūra tiks izvietota dažādos tīkla mezglos. Tas ir vektors, kas faktiski šifrē sistēmas failus un glabā šos datus izpirkšanai. Ryuk šifrē vietējos failus atsevišķos datoros un failus, kas koplietoti tīklā.
Turklāt Kaspersky paskaidroja, ka Ryuk spēj piespiest arī citus tīkla datorus ieslēgties, ja tie ir miega režīmā, kas ļaunprātīgo programmatūru pavairo vairākos mezglos. Failiem, kas atrodas miega tīkla datoros, parasti nevar piekļūt, taču, ja Ryuk ļaunprogrammatūra spēj modināt šos datorus, tā šifrēs arī šajās mašīnās esošos failus.
Ir divi galvenie iemesli, kāpēc hakeri cenšas uzbrukt valsts vai pašvaldību datortīkliem: Pirmkārt, daudzas no šīm sistēmām ir aizsargātas ar apdrošināšanu, kas padara daudz ticamāku naudas norēķinu iespējamību. Otrkārt, šie lielākie tīkli ir savstarpēji saistīti ar citiem lieliem tīkliem, kas var izraisīt tālejošu, kropļojošu efektu. Tas var ietekmēt sistēmas un datus, kas darbojas pilnīgi dažādos departamentos, un tas prasa ātru risinājumu, biežāk nekā nemaksājot uzbrucējiem..
Cīņa pret naudas atgūšanu lielākajās biržās
Šo ransomware uzbrukumu galīgais mērķis ir diezgan vienkāršs: pieprasīt lielu maksājumu, kas parasti tiek veikts, izmantojot kriptonauda. Bitcoin ir bijusi iecienītā apmaksas iespēja uzbrucējiem. Izcilās kriptovalūtas kā vēlamā maksājuma veida izmantošana tomēr neparedzētas sekas uzbrucējiem, jo Bitcoin blokķēdes pārredzamība nozīmē, ka šos darījumus var izsekot gan mikro, gan makro līmenī.
Saistīts: Ransomware uzbrukumi, kas prasa prasīgu kriptogrāfiju, diemžēl ir palikuši
Pētnieki to ir darījuši tieši tā, un, aplūkojot šo darījumu galapunktu, analītiķi var redzēt, ka uzbrucēji izmanto dažas no lielākajām kriptogrāfijas valūtas maiņām. Augusta beigās tika atklāts, ka, izmantojot Binance, izpirkta vairāk nekā viena miljona ASV dolāru vērtā izpirktā Bitcoin.
Binance drošības komanda Cointelegraph atklāja, ka šie darījumi bija vecāki par 18 mēnešiem un ka birža aktīvi uzrauga attiecīgos kontus. Komanda arī uzsvēra to, ka uzbrucēji izmanto savu apmaiņu kā blakusproduktu platformā tirgotajam kriptovalūtas lielajam apjomam, kas nelegāliem dalībniekiem dod lielākas iespējas iekļūt pūlī. Pārstāve piebilda:
“To vēl vairāk sarežģī fakts, ka Binance platformā darbojas ļoti dažādi klienti, no kuriem daži klienti saņem šādus līdzekļus, izmantojot vienkāršus vienādranga darījumus, bet citi saņem, izmantojot korporatīvos pakalpojumus, kas veicina mūsu platformas likviditāti.”
Cointelegraph vērsās pie Izraēlas kiberdrošības firmas Cymulate, lai uzzinātu, ko apmaiņa var darīt, lai kibernoziedznieki varētu labāk novērst savu platformu izmantošanu, lai likvidētu nozagto kriptovalūtu. Avihai Ben-Yossef, uzņēmuma līdzdibinātājs un galvenais tehnoloģiju virsnieks, apgalvo, ka uzņēmumiem, kas nodrošina pretvīrusu aizsardzību un galapunktu noteikšanu un reaģēšanu, ir būtiska loma izsekotās kriptogrāfijas izsekošanā, ņemot vērā, ka viņi zina izmaksātās summas un attiecīgo maku adreses, kas saņem izpirktos līdzekļus. Viņš piebilda, ka no turienes biržas var izsekot un izsekot šiem maksājumiem:
“Analītiķi var savākt seifa numurus un pārbaudīt, cik daudz naudas ir katrā makā, un pēc tam izveidot visu atrasto seifu summu. Ir svarīgi atzīmēt, ka to vienmēr būs vairāk un ka jums katram jāspēj izsekot no izveidotajām Ryuk kravām. ”
Nav šaubu, ka tas var būt laikietilpīgs process. Neskatoties uz to, ka uzbrucēji izmanto maka adreses, lai saņemtu izpirktus līdzekļus, drošības komandas var uzraudzīt šo līdzekļu kustību..
Kopumā 2020. gads kibernoziedzniekiem, kuri ir izmantojuši ransomware uzbrukumus, ir pastāvīgi attīstījušies, bijis izdevīgs gads. Ben-Yossef brīdināja organizācijas un uzņēmumus nodrošināt, ka viņiem ir vislabākā kiberdrošība, lai apkarotu pastāvīgi mainīgo kibernoziegumu vidi:
“Ransomware uzbrukumi kopumā kļūst arvien sarežģītāki. Tie ietver sānu kustību, datu filtrēšanu un daudzas citas metodes, kas nopietni ietekmē uzņēmumus, kuri nemaksās izpirkuma maksu. Ir jauns RYUK pēctecis Conti, kuru raksta mazliet savādāk un, visticamāk, izstrādājuši citi hakeri. Organizācijām ir kļuvis svarīgi pielāgot drošības pārbaudes rīkus, piemēram, uzbrukumu un uzbrukumu simulācijas, lai nodrošinātu, ka to drošības kontrole darbojas optimāli efektīvi pret jauniem draudiem. “