Программы-вымогатели - это разновидность вредоносного программного обеспечения, предназначенного для блокировки файлов на компьютере или в системе до уплаты выкупа. Одним из первых когда-либо задокументированных программ-вымогателей стал компьютер Cyborg 1989 года - он потребовал выкуп в размере 189 долларов для расшифровки заблокированных файлов.

Компьютерные технологии прошли долгий путь с 1989 года, и вместе с ними развивались программы-вымогатели, что привело к появлению сложных и мощных вариантов, таких как WastedLocker. Так как же работает WastedLocker? На кого это повлияло? А как можно защитить свои устройства?

Что такое WastedLocker и как он работает?

WastedLocker, впервые обнаруженный в начале 2020 года, управляется печально известной хакерская группа Evil Corp, которая также известна как INDRIK SPIDER или банда Dridex и, скорее всего, связана с российскими спецслужбами.

Управление по контролю за иностранными активами Министерства финансов США ввело санкции против Evil Corp. в 2019 году а Министерство юстиции предъявило обвинение своему предполагаемому лидеру Максиму Якубцу, что вынудило группу изменить тактику.

instagram viewer

Атаки WastedLocker обычно начинаются с SocGholish, трояна удаленного доступа (RAT), который выдает себя за обновления браузера и Flash, чтобы обманом заставить цель загрузить вредоносные файлы.

СВЯЗАННЫЕ С: Что такое троян для удаленного доступа?

Как только цель загрузит поддельное обновление, WastedLocker эффективно зашифрует все файлы на своем компьютере и добавляет к ним слово «потрачено впустую», что, кажется, является намеком на интернет-мемы, вдохновленные видеоигрой Grand Theft Auto. серии.

Так, например, файл с исходным именем «muo.docx» будет отображаться как «muo.docx.wasted» на скомпрометированной машине.

Для блокировки файлов WastedLocker использует комбинацию Advanced Encryption Standard (AES) и Алгоритмы шифрования Ривест-Шамир-Адлеман (RSA), которые делают дешифрование практически невозможным без зла. Закрытый ключ корпорации.

Алгоритм шифрования AES используется финансовыми учреждениями и правительствами - например, Агентство национальной безопасности (АНБ) использует его для защиты совершенно секретной информации.

Назван в честь трех ученых Массачусетского технологического института (MIT), которые впервые публично описали его в 1970-х годов алгоритм шифрования RSA значительно медленнее, чем AES, и в основном используется для шифрования небольших объемов данные.

WastedLocker оставляет записку о выкупе за каждый файл, который он зашифровывает, и указывает жертве связаться с злоумышленниками. Сообщение обычно содержит адрес электронной почты Protonmail, Eclipso или Tutanota.

Примечания о выкупе обычно настраиваются, в них упоминается целевая организация по имени и предостерегается от обращения в органы власти или передачи контактных электронных писем третьим лицам.

Эта вредоносная программа, предназначенная для крупных компаний, обычно требует выкупа в размере до 10 миллионов долларов.

Широко распространенные атаки WastedLocker

В июне 2020 г. Symantec раскрыла 31 атаку WastedLocker на американские компании. Подавляющее большинство целевых организаций были крупными семейными именами, а 11 компаний входили в список Fortune 500.

Программа-вымогатель была нацелена на компании в различных секторах, включая производство, информационные технологии, средства массовой информации и телекоммуникации.

Evil Corp взломала сети целевых компаний, но Symantec удалось помешать хакерам развернуть WastedLocker и хранить данные для выкупа.

Реальное общее количество атак может быть намного выше, поскольку программа-вымогатель была развернута через десятки популярных легитимных новостных сайтов.

Излишне говорить, что компании стоимостью в миллиарды долларов имеют первоклассную защиту, что красноречиво говорит о том, насколько опасен WastedLocker.

Тем же летом Evil Corp развернула WastedLocker против американской компании Garmin, занимающейся GPS и фитнес-трекерами, годовой доход которой оценивается в 4 миллиарда долларов.

Как израильская компания по кибербезопасности Вотиро Как было отмечено в то время, атака нанесла вред компании Garmin. Это нарушило работу многих служб компании и даже повлияло на центры обработки вызовов и некоторые производственные линии в Азии.

Сообщается, что компания Garmin заплатила выкуп в размере 10 миллионов долларов за восстановление доступа к своим системам. Компании потребовалось несколько дней, чтобы наладить работу своих сервисов, что, по-видимому, привело к огромным финансовым потерям.

Хотя компания Garmin, по-видимому, считала выплату выкупа лучшим и наиболее эффективным способом разрешения ситуации, важно отметить что киберпреступникам нельзя доверять - иногда у них нет стимула предоставить ключ дешифрования после получения выкупа. оплата.

Как правило, лучший способ действий в случае кибератаки - немедленно связаться с властями.

Кроме того, правительства по всему миру вводят санкции против хакерских групп, а иногда и эти санкции. также применимы к лицам, которые отправляют или содействуют выплате выкупа, поэтому существуют юридические риски рассмотреть возможность.

Что такое программа-вымогатель Hades Variant?

В декабре 2020 года исследователи безопасности обнаружили новый вариант программы-вымогателя, получивший название Hades (не путают с Hades Locker 2016 года, который обычно развертывается по электронной почте в виде MS Word. вложение).

Анализ от CrowdStrike обнаружил, что Hades по сути является 64-битным скомпилированным вариантом WastedLocker, но выявил несколько ключевых различий между этими двумя вредоносными программами.

Например, в отличие от WastedLocker, Hades не оставляет записку о выкупе для каждого зашифрованного файла - он создает единственную записку о выкупе. И он хранит ключевую информацию в зашифрованных файлах, а не в записке о выкупе.

Вариант Hades не оставляет контактной информации; вместо этого он направляет жертв на сайт Tor, который настраивается для каждой цели. Сайт Tor позволяет жертве бесплатно расшифровать один файл, что, очевидно, является способом для Evil Corp продемонстрировать, что ее инструменты дешифрования действительно работают.

Hades в первую очередь нацелился на крупные организации, базирующиеся в США, с годовым доходом, превышающим 1 доллар США. млрд, и его развертывание ознаменовало еще одну творческую попытку Evil Corp провести ребрендинг и уклониться от санкции.

Как защититься от WastedLocker

С ростом числа кибератак, инвестирование в инструменты защиты от программ-вымогателей абсолютно необходимо. Также крайне важно обновлять программное обеспечение на всех устройствах, чтобы не дать киберпреступникам воспользоваться известными уязвимостями.

Сложные варианты программ-вымогателей, такие как WastedLocker и Hades, могут перемещаться в горизонтальном направлении, что означает, что они могут получить доступ ко всем данным в сети, включая облачное хранилище. Вот почему резервное копирование в автономном режиме - лучший способ защитить важные данные от злоумышленников.

Поскольку сотрудники являются наиболее частой причиной нарушений, организациям следует вкладывать время и ресурсы в обучение персонала основным методам обеспечения безопасности.

В конечном счете, внедрение модели безопасности Zero Trust, возможно, является лучшим способом гарантировать, что организация защищен от кибератак, в том числе со стороны Evil Corp и других хакеров, спонсируемых государством. группы.

ДелитьсяТвитнутьЭл. адрес
Что такое сеть с нулевым доверием и как она защищает ваши данные?

Хотите защитить свой бизнес от киберпреступников? VPN хороши, но они могут быть не такими эффективными, как ZTN с программно определяемыми периметрами.

Читать далее

Похожие темы
  • Безопасность
  • Программы-вымогатели
  • Интернет-безопасность
  • Вредоносное ПО
  • Безопасность данных
Об авторе
Дамир Мужезинович (Опубликовано 10 статей)

Дамир - внештатный писатель и репортер, чья работа посвящена кибербезопасности. Помимо письма, он любит читать, музыку и кино.

Ещё от Damir Mujezinovic

Подписывайтесь на нашу новостную рассылку

Подпишитесь на нашу рассылку, чтобы получать технические советы, обзоры, бесплатные электронные книги и эксклюзивные предложения!

Нажмите здесь, чтобы подписаться