Υπάρχει ακόμα ένα στοιχείο της κρυπτογράφησης “Wild West” το 2020, καθώς κρυπτογράφηση κρυπτογράφησης μέσω εισβολών και επιθέσεων ransomware εξακολουθεί να εξαργυρώνεται σε μεγάλες ανταλλαγές σε όλο τον κόσμο. Οι επιθέσεις με λογισμικό Ransomware αποδείχτηκαν μια προσοδοφόρα αγελάδα για τους εγκληματίες στον κυβερνοχώρο τα τελευταία χρόνια, με το Ομοσπονδιακό Γραφείο Ερευνών των Ηνωμένων Πολιτειών να εκτιμά ότι έχει κλαπεί Bitcoin αξίας άνω των 144 εκατομμυρίων δολαρίων μεταξύ Οκτωβρίου 2013 και Νοεμβρίου 2019.
Μια συνέντευξη Τύπου που πραγματοποιήθηκε από το FBI τον Φεβρουάριο αποκάλυψε το τεράστιο ποσό που καταβλήθηκε ως λύτρα σε επιτιθέμενους από θύματα που ήταν απελπισμένα να ανακτήσουν την πρόσβαση στα μολυσμένα συστήματα και δεδομένα τους. Αρκετά ενδιαφέρον, οι εισβολείς έλαβαν την πλειοψηφία των λύτρων στο Bitcoin (BTC). Πιο πρόσφατα, οι ερευνητές έλαβαν ένα δείγμα 63 συναλλαγών που σχετίζονται με ransomware, που αντιστοιχούσαν σε περίπου 5,7 εκατομμύρια δολάρια κλεμμένων χρημάτων και διαπίστωσαν ότι το Bitcoin αξίας άνω του 1 εκατομμυρίου δολαρίων εξαργυρώθηκε στο Binance μετά από μια σειρά συναλλαγών σε διάφορες διευθύνσεις πορτοφολιών.
Υπάρχουν μια σειρά από διαβόητες παραλλαγές ransomware που χρησιμοποιούνται από διάφορους χάκερ και εγκληματικές ομάδες στον κυβερνοχώρο. Η εταιρεία κυβερνοασφάλειας Kaspersky επισημαίνεται η αύξηση σε αυτούς τους τύπους επιθέσεων που στοχεύουν μεγαλύτερους οργανισμούς τον Ιούλιο, περιγράφοντας δύο συγκεκριμένες απειλές για κακόβουλο λογισμικό: VHD και Hakuna MATA.
Αυτές οι συγκεκριμένες απειλές φαίνονται χλωμές σε σύγκριση με το ποσό κρυπτογράφησης που έχει κλαπεί μέσω της χρήσης μεγαλύτερων απειλών κακόβουλου λογισμικού, όπως το Ryuk ransomware. Λοιπόν, ο λόγος για τον οποίο ο Ryuk ήταν μια προτιμώμενη μέθοδος επίθεσης και τι μπορεί να γίνει για να αποτρέψει και να αποθαρρύνει τους επιτιθέμενους να εξαργυρώσουν τα παράνομα κέρδη τους σε μεγάλες πλατφόρμες ανταλλαγής.
Ο Τρώος στις πύλες της πόλης: Ryuk
Αυτοί οι νεότεροι φορείς επίθεσης που αναφέρονται στην έκθεση του Kaspersky τον Ιούλιο δεν έχουν κερδίσει την ίδια φήμη με το Ryuk ransomware. Προς το τέλος του 2019, ο Kaspersky κυκλοφόρησε ένα άλλο κανω ΑΝΑΦΟΡΑ που υπογράμμισε την κατάσταση των δήμων και των πόλεων που έχουν πέσει θύματα επιθέσεων ransomware. Ο Ryuk χαρακτηρίστηκε από την εταιρεία ως το αγαπημένο όχημα επιθέσεων σε μεγαλύτερους οργανισμούς, με κυβερνητικά και δημοτικά συστήματα να είναι πρωταρχικοί στόχοι το 2019.
Ο Ryuk εμφανίστηκε για πρώτη φορά το δεύτερο εξάμηνο του 2018 και έφερε το χάος καθώς εξαπλώθηκε μέσω δικτύων υπολογιστών και συστημάτων σε όλο τον κόσμο. Ονομάστηκε από τον δημοφιλή χαρακτήρα Ryuk από τη σειρά manga Death Note, το κακόβουλο λογισμικό είναι μια έξυπνη λήψη του «Βασιλιά του Θανάτου», ο οποίος διασκεδάζει παραδίδοντας ένα «σημείωμα θανάτου» στον ανθρώπινο χώρο που επιτρέπει στον ανιχνευτή της σημείωσης να σκοτώσει οποιονδήποτε απλά γνωρίζοντας το όνομα και την εμφάνισή τους.
Το κακόβουλο λογισμικό παραδίδεται συνήθως σε μια προσέγγιση δύο φάσεων που επιτρέπει στους εισβολείς να εξετάσουν πρώτα το δίκτυο. Αυτό συνήθως ξεκινά με έναν μεγάλο αριθμό μηχανημάτων που λαμβάνουν μηνύματα ηλεκτρονικού ταχυδρομείου που περιέχουν ένα έγγραφο το οποίο οι χρήστες ενδέχεται να κατεβάσουν ακούσια. Το συνημμένο περιέχει ένα bot κακόβουλου λογισμικού Emotet Trojan που ενεργοποιείται εάν γίνει λήψη του αρχείου.
Το δεύτερο στάδιο της επίθεσης βλέπει το bot Emotet να επικοινωνεί με τους διακομιστές του για να εγκαταστήσει ένα άλλο κακόβουλο λογισμικό γνωστό ως Trickbot. Αυτό είναι το κομμάτι του λογισμικού που επιτρέπει στους εισβολείς να διεξάγουν έναν έλεγχο του δικτύου.
Εάν οι επιτιθέμενοι χτυπήσουν ένα παροιμικό μέλι – δηλ. Ένα δίκτυο μεγάλων επιχειρήσεων, κυβερνητικών ή δημοτικών γραφείων – το ίδιο το Ryuk ransomware θα αναπτυχθεί σε διαφορετικούς κόμβους του δικτύου. Αυτός είναι ο φορέας που κρυπτογραφεί πραγματικά αρχεία συστήματος και διατηρεί αυτά τα δεδομένα για λύτρα. Το Ryuk κρυπτογραφεί τοπικά αρχεία σε μεμονωμένους υπολογιστές και αρχεία που μοιράζονται σε ένα δίκτυο.
Επιπλέον, ο Kaspersky εξήγησε ότι ο Ryuk έχει επίσης τη δυνατότητα να αναγκάσει άλλους υπολογιστές στο δίκτυο να ενεργοποιηθούν εάν βρίσκονται σε κατάσταση αναστολής λειτουργίας, η οποία διαδίδει το κακόβουλο λογισμικό σε μεγαλύτερο αριθμό κόμβων. Τα αρχεία που βρίσκονται σε υπολογιστές σε δίκτυο που είναι σε κατάσταση αδράνειας συνήθως δεν είναι διαθέσιμα για πρόσβαση, αλλά εάν το κακόβουλο λογισμικό Ryuk είναι σε θέση να ξυπνήσει αυτούς τους υπολογιστές, θα κρυπτογραφήσει αρχεία και σε αυτούς τους υπολογιστές.
Υπάρχουν δύο κύριοι λόγοι για τους οποίους οι χάκερ φαίνεται να επιτίθενται σε κυβερνητικά ή δημοτικά δίκτυα υπολογιστών: Πρώτον, πολλά από αυτά τα συστήματα προστατεύονται από ασφάλιση, γεγονός που καθιστά πολύ πιο πιθανό να επιτευχθεί νομισματικός διακανονισμός. Δεύτερον, αυτά τα μεγαλύτερα δίκτυα συνδέονται εγγενώς μαζί με άλλα μεγάλα δίκτυα, τα οποία μπορούν να οδηγήσουν σε ένα εκτεταμένο, παραμελημένο αποτέλεσμα. Συστήματα και δεδομένα που τροφοδοτούν εντελώς διαφορετικά τμήματα μπορούν να επηρεαστούν, κάτι που απαιτεί γρήγορη λύση, πιο συχνά από ότι δεν οδηγεί σε πληρωμή στους εισβολείς.
Καταπολέμηση εξαργύρωσης σε μεγάλες ανταλλαγές
Ο τελικός στόχος αυτών των επιθέσεων ransomware είναι πολύ απλός: να απαιτήσετε μια μεγάλη πληρωμή, που συνήθως γίνεται χρησιμοποιώντας κρυπτονομίσματα. Το Bitcoin ήταν η προτιμώμενη επιλογή πληρωμής για εισβολείς. Ωστόσο, η χρήση του κυρίαρχου κρυπτονομίσματος ως προτιμώμενης μεθόδου πληρωμής έχει ανεπιθύμητη συνέπεια για τους εισβολείς, καθώς η διαφάνεια του blockchain του Bitcoin σημαίνει ότι αυτές οι συναλλαγές μπορούν να παρακολουθούνται τόσο σε μικρο όσο και σε μακροοικονομικό επίπεδο.
Σχετιζομαι με: Οι επιθέσεις Ransomware που απαιτούν Crypto είναι δυστυχώς εδώ για να μείνουν
Αυτό ακριβώς κάνουν οι ερευνητές και κοιτάζοντας το τελικό σημείο αυτών των συναλλαγών, οι αναλυτές βλέπουν τους εισβολείς να χρησιμοποιούν μερικά από τα μεγαλύτερα χρηματιστήρια κρυπτονομισμάτων. Στα τέλη Αυγούστου, αποκαλύφθηκε ότι το Bitcoin που έχει εξαργυρωθεί αξίζει πάνω από 1 εκατομμύριο δολάρια εξαργυρώθηκε μέσω του Binance.
Η ομάδα ασφαλείας της Binance αποκάλυψε στην Cointelegraph ότι αυτές οι συναλλαγές ήταν άνω των 18 μηνών και ότι η ανταλλαγή παρακολουθεί ενεργά τους σχετικούς λογαριασμούς. Η ομάδα τόνισε επίσης τη χρήση της ανταλλαγής της από τους επιτιθέμενους ως υποπροϊόν του τεράστιου όγκου κρυπτονομισμάτων που διαπραγματεύεται στην πλατφόρμα, γεγονός που δίνει στους παράνομους ηθοποιούς περισσότερες πιθανότητες να μπλέξουν στο πλήθος. Ο εκπρόσωπος πρόσθεσε:
«Αυτό περιπλέκεται περαιτέρω από το γεγονός ότι η Binance έχει μια μεγάλη ποικιλία πελατών που λειτουργούν στην πλατφόρμα της, με ορισμένους πελάτες να λαμβάνουν τέτοια χρήματα μέσω απλών συναλλαγών peer-to-peer, και άλλοι να λαμβάνουν μέσω εταιρικών υπηρεσιών που αξιοποιούν την πλατφόρμα μας για ρευστότητα.»
Η Cointelegraph απευθύνθηκε στην εταιρεία κυβερνοασφάλειας Cymulate με έδρα το Ισραήλ για να μάθει τι μπορούν να κάνουν οι ανταλλαγές για να αποτρέψουν καλύτερα τους κυβερνοεγκληματίες από τη χρήση των πλατφορμών τους για την εκκαθάριση κλεμμένων κρυπτονομισμάτων. Ο Avihai Ben-Yossef, συνιδρυτής και επικεφαλής τεχνολογίας της εταιρείας, υποστηρίζει ότι οι εταιρείες που παρέχουν προστασία από ιούς και ανίχνευση και απόκριση τελικού σημείου έχουν ζωτικό ρόλο να διαδραματίσουν στην παρακολούθηση κρυπτογράφησης, δεδομένου ότι γνωρίζουν τα ποσά που έχουν καταβληθεί και το αντίστοιχο πορτοφόλι διευθύνσεις που λαμβάνουν τα εξαργυρωμένα χρήματα. Πρόσθεσε ότι από εκεί, οι ανταλλαγές μπορούν να εντοπίσουν και να εντοπίσουν αυτές τις πληρωμές:
«Οι αναλυτές μπορούν να συλλέξουν αριθμούς πορτοφολιών και να ελέγξουν πόσα χρήματα υπάρχουν σε κάθε πορτοφόλι και στη συνέχεια να δημιουργήσουν ένα άθροισμα όλων των πορτοφολιών που βρέθηκαν. Είναι σημαντικό να σημειωθεί ότι θα υπάρχουν πάντα περισσότερα και ότι πρέπει να είστε σε θέση να παρακολουθείτε κάθε ένα από τα ωφέλιμα φορτία Ryuk που δημιουργήθηκαν. “
Δεν υπάρχει αμφιβολία ότι αυτό μπορεί να είναι χρονοβόρα διαδικασία. Ωστόσο, η χρήση διευθύνσεων πορτοφολιών από επιτιθέμενους για τη λήψη χρημάτων εξαγοράς επιτρέπει στις ομάδες ασφαλείας να παρακολουθούν την κίνηση αυτών των κεφαλαίων.
Συνολικά, το 2020 ήταν μια κερδοφόρα χρονιά για εγκληματίες στον κυβερνοχώρο που έχουν χρησιμοποιήσει επιθέσεις ransomware, οι οποίες εξελίσσονται συνεχώς. Ο Ben-Yossef προειδοποίησε τους οργανισμούς και τις εταιρείες να διασφαλίσουν ότι έχουν την καλύτερη ασφάλεια στον κυβερνοχώρο για την καταπολέμηση του συνεχώς μεταβαλλόμενου περιβάλλοντος εγκλήματος στον κυβερνοχώρο:
«Οι επιθέσεις Ransomware γενικά γίνονται όλο και πιο περίπλοκες. Περιλαμβάνουν πλευρική μετακίνηση, αποβολή δεδομένων και πολλές άλλες μεθόδους που έχουν σοβαρές συνέπειες σε εταιρείες που δεν θα πληρώσουν τα λύτρα. Υπάρχει ένας νέος διάδοχος του RYUK, ο Conti, ο οποίος γράφτηκε λίγο διαφορετικά και πιθανότατα αναπτύχθηκε από άλλους χάκερ. Έχει καταστεί κρίσιμο για τους οργανισμούς να προσαρμόσουν τα εργαλεία δοκιμών ασφαλείας, όπως η προσομοίωση παραβίασης και επίθεσης, για να διασφαλίσουν ότι οι έλεγχοι ασφαλείας τους λειτουργούν στη βέλτιστη αποτελεσματικότητά τους έναντι των αναδυόμενων απειλών. “