Interesseret i $10,000,000? Klar til at indlevere Clop ransomware-teamet?

Interesseret i $10,000,000? Klar til at indlevere Clop ransomware-teamet?

Tidsstempel: 28. juni 2023 kl. 12
Interested in $10,000,000? Ready to turn in the Clop ransomware crew? PlatoBlockchain Data Intelligence. Vertical Search. Ai.
by Nøgen sikkerhedsskribent

Den seneste højprofilerede udnyttelse af cyberkriminalitet tilskrives Clop ransomware-besætningen er ikke din traditionelle form for ransomware-angreb (hvis "traditionel" er det rigtige ord for en afpresningsmekanisme, der kun går tilbage til 1989).

Konventionelle ransomware-angreb er, hvor dine filer bliver forvrænget, din virksomhed bliver totalt afsporet, og der vises en meddelelse, der fortæller dig, at en dekrypteringsnøgle til dine data er tilgængelig...

…til hvad der typisk er en iøjnefaldende sum penge.

Kriminel evolution

Som du kan forestille dig, givet det ransomware går tilbage til dagene før alle havde internetadgang (og da de, der var online havde dataoverførselshastigheder målt ikke i gigabit eller endda megabit per sekund, men ofte kun i kilobits), var ideen om at kryptere dine filer, hvor de lå, et skørt trick til at spare tid.

De kriminelle endte med fuldstændig kontrol over dine data, uden at skulle uploade alt først og derefter overskrive de originale filer på disken.

Endnu bedre for skurkene, de kunne gå efter hundreder, tusinder eller endda millioner af computere på én gang, og de behøvede ikke at holde styr på alle dine data i håbet om at "sælge dem tilbage" til dig. (Før cloud storage blev en forbrugertjeneste, var diskplads til backup dyrt og kunne ikke nemt erhverves på efterspørgsel på et øjeblik.)

Ofre for filkryptering af ransomware ender ironisk nok med at optræde som uvillige fængselsvogtere af deres egne data.

Deres filer efterlades fristende inden for rækkevidde, ofte med deres originale filnavne (omend med en ekstra udvidelse som f.eks. .locked tilføjet på enden for at gnide salt ind i såret), men fuldstændig uforståelig for de apps, der normalt ville åbne dem.

Men i nutidens cloud computing-verden er cyberangreb, hvor ransomware-skurke faktisk tager kopier af alle, eller i det mindste mange, af dine vitale filer ikke kun teknisk mulige, de er almindelige.

Bare for at være klar, i mange, hvis ikke de fleste tilfælde, forvrider angriberne også dine lokale filer, fordi de kan.

Når alt kommer til alt, er det generelt meget hurtigere at kryptere filer på tusindvis af computere samtidigt end at uploade dem alle til skyen.

Lokale lagerenheder giver typisk en databåndbredde på flere gigabit per sekund per drev per computer, hvorimod mange virksomhedsnetværk har en internetforbindelse på et par hundrede megabit per sekund, eller endnu mindre, delt mellem alle.

At kryptere alle dine filer på alle dine bærbare computere og servere på tværs af alle dine netværk betyder, at angriberne kan afpresse dig på grundlag af konkurs for din virksomhed, hvis du ikke kan gendanne dine sikkerhedskopier i tide.

(Dagens ransomware-skurke går ofte ud af deres måde at ødelægge så meget af dine sikkerhedskopierede data, som de kan finde, før de udfører filkrypteringsdelen.)

Det første lag af afpresning siger, “Betal op, og vi giver dig de dekrypteringsnøgler, du skal bruge for at rekonstruere alle dine filer, lige hvor de er på hver computer, så selvom du har langsomme, delvise eller ingen sikkerhedskopier, vil du snart være oppe at køre igen; nægter at betale, og din virksomhed vil forblive lige hvor de er, død i vandet."

På samme tid, selvom skurkene kun har tid til at stjæle nogle af dine mest interessante filer fra nogle af dine mest interessante computere, får de alligevel et andet sværd af Damokles at holde over dit hoved.

Det andet lag af afpresning går i retning af, "Betal op, og vi lover at slette de stjålne data; nægter at betale, og vi vil ikke bare holde fast i det, vi vil gå vilde med det."

Svindlerne truer typisk med at sælge dine trofædata videre til andre kriminelle, at videresende dem til regulatorerne og medierne i dit land, eller blot at offentliggøre dem åbent online, så alle og enhver kan downloade dem og sludre dem.

Glem krypteringen

I nogle cyberafpresningsangreb springer kriminelle, der allerede har stjålet dine data, enten filkrypteringsdelen over eller er ikke i stand til at fjerne dem.

I så fald ender ofrene kun med at blive afpresset på grundlag af at holde skurkene i ro, ikke for at få deres filer tilbage for at få deres virksomhed til at køre igen.

Det ser ud til at være, hvad der skete i den seneste højprofilerede MOVEit angriber, hvor Clop-banden eller deres tilknyttede selskaber kendte til en udnyttelig nul-dages sårbarhed i software kendt som MOVEit...

… det tilfældigvis handler om at uploade, administrere og sikkert dele virksomhedsdata, inklusive en komponent, der lader brugere få adgang til systemet ved hjælp af intet mere komplekst end deres webbrowsere.

Desværre eksisterede nul-dages hullet i MOVEits webbaserede kode, så enhver, der havde aktiveret webbaseret adgang, utilsigtet udsatte deres virksomheds fildatabaser for eksternt injicerede SQL-kommandoer.

Tilsyneladende er mere end 130 virksomheder nu mistænkt for at have fået stjålet data, før MOVEit zero-day blev opdaget og lappet.

Mange af ofrene ser ud til at være ansatte, hvis lønoplysninger blev brudt og stjålet – ikke fordi deres egen arbejdsgiver var MOVEit-kunde, men fordi deres arbejdsgivers outsourcede lønbehandler var det, og deres data blev stjålet fra den pågældende udbyders løndatabase.

Ydermere ser det ud til, at i det mindste nogle af de organisationer, der blev hacket på denne måde (enten direkte via deres egen MOVEit-opsætning, eller indirekte via en af ​​deres tjenesteudbydere) var amerikanske public service-organer.

Belønning på højkant

Denne kombination af omstændigheder førte til, at US Rewards for Justice (RFJ)-teamet, en del af det amerikanske udenrigsministerium (dit lands ækvivalent kan gå under navnet Foreign Affairs eller Foreign Ministry), mindede alle på Twitter om følgende:

RFJ'erne siger egen hjemmeside, som citeret i tweetet ovenfor:

Rewards for Justice tilbyder en belønning på op til $10 millioner for information, der fører til identifikation eller lokalisering af enhver person, der, mens han handler efter anvisning eller kontrol af en udenlandsk regering, deltager i ondsindede cyberaktiviteter mod amerikansk kritisk infrastruktur i krænkelse af Computer Fraud and Abuse Act (CFAA).

Hvorvidt informanter kan ende med flere multipla af $10,000,000, hvis de identificerer flere lovovertrædere, er ikke klart, og hver belønning er angivet som "op til" $10 millioner i stedet for en ufortyndet $10 millioner hver gang...

…men det bliver interessant at se, om nogen beslutter sig for at forsøge at kræve pengene.

Tidsstempel:

Mere fra Naked Security