Αποκατάσταση αποικιακού λογισμικού Ransomware
Στις 7 Ιουνίου 2021, το Υπουργείο Δικαιοσύνης των ΗΠΑ ανακοίνωσε ότι είχαν καταλάβει 63.69 BTC από τα 75 BTC λύτρα που είχε πληρώσει η Colonial Pipeline στο DarkSide. Αυτή η ανάκτηση λύτρων είναι η πρώτη που πραγματοποιήθηκε από την ομάδα εργασίας DOJ Ransomware και Digital Extortion Task Force.
Ενώ το FBI μπόρεσε να ανακτήσει περίπου το 85% του BitcoinΤο Bitcoin είναι ένα ψηφιακό νόμισμα (ονομάζεται επίσης κρυπτονομίσμα)… Περισσότερα πληρώθηκε στο DarkSide, αυτό αντιπροσωπεύει μόνο το ήμισυ περίπου του ισοδυνάμου USD που πληρώθηκε αρχικά λόγω της πτώσης της τιμής του bitcoin από την πληρωμή των λύτρων. Τα υπόλοιπα 11.3 BTC παρέμειναν σε διαφορετική διεύθυνση ελεγχόμενης θυγατρικής DarkSide ή DarkSide, που απεικονίζεται στο παρακάτω γράφημα. Με βάση μια ανάλυση της ροής κεφαλαίων και της λειτουργίας του DarkSide ως μοντέλου Ransomware-as-a-Service (RaaS), τα αχρησιμοποίητα κεφάλαια θα μπορούσαν να κρατηθούν από τους χειριστές του DarkSide, ενώ τα χρήματα που κατασχέθηκαν ήταν αυτά που κρατούσαν οι συνεργάτες της RaaS που πραγματοποίησαν το hack . Είναι συνήθης πρακτική για τους χειριστές ransomware να λαμβάνουν περικοπή 15-30% των λύτρων, αφήνοντας τους συνεργάτες της RaaS (εκείνοι που πραγματοποιούν την επίθεση) με τους υπόλοιπους.
Οι χειριστές του Darkside ενοποίησαν το υπόλοιπο των κεφαλαίων Colonial Pipeline με πολλές άλλες πληρωμές λύτρων, συμπεριλαμβανομένου του ποσού της παγκόσμιας εταιρείας διανομής χημικών προϊόντων Brenntag, στην οποία δέχθηκε επίθεση λίγες ημέρες νωρίτερα. Αυτή η ενοποίηση των 107.8 BTC των κεφαλαίων DarkSide δεν κατασχέθηκε από το DOJ μέχρι στιγμής και ήταν αδρανής από τις 13 Μαΐου.
Σύμφωνα με το Ένταλμα κατάσχεσης DarkSide, η Cyber Crimes Squad του FBI στο Σαν Φρανσίσκο Field Division χρησιμοποίησε ανάλυση blockchain για να προσδιορίσει τη ροή κεφαλαίων πληρωμών λύτρων Colonial Pipeline. Σε αυτό το ένταλμα, το FBI ανακοίνωσε επίσης ότι κατείχε το ιδιωτικό κλειδί για τη διεύθυνση κρυπτογράφησης που συνδέεται με 63.7 BTC, η οποία μπορεί να εντοπιστεί απευθείας στην πληρωμή λύτρων Colonial Pipeline. Αυτά τα ιδιωτικά κλειδιά αποκτήθηκαν πιθανώς ως αποτέλεσμα της πρόσφατης κατάσχεσης διακομιστών DarkSide στις 13 Μαΐου ή γύρω στις αναφέρονται από μηνύματα που αποστέλλονται σε συνεργάτες της λειτουργίας DarkSide RaaS.
Η κατάσχεση του cryptocurrencyΤο cryptocurrency (ή το crypto currency) είναι ένα ψηφιακό περιουσιακό στοιχείο… Περισσότερα από άμεση, φυσική πρόσβαση στο πορτοφόλι δεν είναι κοινή. Για την κατάσχεση της κρυπτογράφησης, η επιβολή του νόμου πρέπει να έχει πρόσβαση στο ιδιωτικό κλειδί ή να έχει πρόσβαση σε ένα άτομο που μπορεί να έχει πρόσβαση στο ιδιωτικό κλειδί. Αυτός είναι ο λόγος για τον οποίο το μεγαλύτερο μέρος της κρυπτογράφησης καταλαμβάνεται είτε μέσω ανταλλαγής, δεδομένου ότι οι ανταλλαγές διατηρούν τα ιδιωτικά κλειδιά ή μετά από σύλληψη ενός ατόμου που έχει ένα πορτοφόλι σε αυτά ή μεταξύ των περιουσιακών του στοιχείων.
Επίθεση Ransomware με αποικιακό αγωγό
Στις 7 Μαΐου 2021, η ομάδα DarkSide με έδρα τη Ρωσία επιτέθηκε στο Colonial Pipeline - μέρος του κρίσιμου τομέα υποδομών των Ηνωμένων Πολιτειών. Ως μέρος του ransomware, οι ηθοποιοί DarkSide κρυπτογράφησαν συσκευές στο δίκτυο και έκλεψαν μη κρυπτογραφημένα αρχεία, απειλώντας να τα κυκλοφορήσουν στο κοινό εάν η εταιρεία δεν πληρώσει. Σύμφωνα με blockchainΈνα blockchain - η τεχνολογία που βασίζεται στο bitcoin και άλλα… Περισσότερα ανάλυση, την επόμενη μέρα η Colonial Pipeline πλήρωσε τα λύτρα των 75 BTC, αξίας άνω των 4.2 εκατομμυρίων δολαρίων εκείνη τη στιγμή. Μετά την επίθεση, ο Λευκός Οίκος εξέδωσε εκτελεστική εντολή για τη βελτίωση της ασφάλειας στον κυβερνοχώρο των ΗΠΑ ενάντια σε «επίμονες και ολοένα και πιο περίπλοκες κακόβουλες εκστρατείες στον κυβερνοχώρο που απειλούν τον δημόσιο τομέα, τον ιδιωτικό τομέα και, τελικά, την ασφάλεια και την ιδιωτική ζωή του αμερικανικού λαού».
Επίθεση Ransomware Brenntag
Τέσσερις ημέρες μετά την επίθεση Colonial Pipeline, η παγκόσμια εταιρεία διανομής χημικών προϊόντων Brenntag υπέστη επίθεση ransomware που στόχευε στο τμήμα της Βόρειας Αμερικής. Στις 11 Μαΐου, η εταιρεία πλήρωσε 78.5 BTC, αξίας περίπου 4.4 εκατομμυρίων δολαρίων εκείνη τη στιγμή, στους χειριστές ransomware. Παρόμοια με την επίθεση Colonial Pipeline, ως μέρος αυτής της επίθεσης, οι ηθοποιοί DarkSide κρυπτογράφησαν συσκευές στο δίκτυο και έκλεψαν μη κρυπτογραφημένα αρχεία. Ωστόσο, σε αντίθεση με το Colonial Pipeline, τα χρήματα Brenntag δεν έχουν ακόμη ανακτηθεί.
Τι είναι το Ransomware-as-a-Service;
Το DarkSide είναι μια λειτουργία Ransomware-as-a-Service (RaaS). Στα μοντέλα λειτουργίας RaaS, οι προγραμματιστές κακόβουλου λογισμικού συνεργάζονται με συνεργάτες τρίτων ή χάκερ, οι οποίοι είναι υπεύθυνοι για την απόκτηση πρόσβασης σε δίκτυο, την κρυπτογράφηση συσκευών και τη διαπραγμάτευση της πληρωμής λύτρων με το θύμα. Ως αποτέλεσμα αυτού του σχετικά νέου μοντέλου, το ransomware μπορεί πλέον να χρησιμοποιηθεί εύκολα από κακούς ηθοποιούς που δεν διαθέτουν την τεχνική ικανότητα να δημιουργήσουν οι ίδιοι το κακόβουλο λογισμικό, αλλά είναι περισσότερο από πρόθυμοι και ικανοί να διεισδύσουν σε έναν στόχο.
Στη συνέχεια, η πληρωμή επιδόματος κατανέμεται μεταξύ της θυγατρικής και του χειριστή (προγραμματιστής). Αυτός ο διαχωρισμός μεταξύ των χειριστών ransomware και της θυγατρικής που προκάλεσε τη μόλυνση, είναι συχνά ένα ενδεικτικό σημάδι των μοντέλων Ransomware-as-a-Service. Στα περισσότερα μοντέλα RaaS, αυτή η διαίρεση κυμαίνεται μεταξύ 15-30% στον χειριστή και 70-85% στη θυγατρική.
Καταπολέμηση του Ransomware - Τι ακολουθεί;
Η ταχεία ανάπτυξη των λειτουργιών ransomware-as-a-service όπως το NetWalker και το Darkside έχει γίνει μια κερδοφόρα επιχείρηση για παράγοντες απειλής. Αυτές οι πρόσφατες επιθέσεις εναντίον κρίσιμων υποδομών αποδεικνύουν ότι το ransomware δεν επηρεάζει μόνο τα άτομα. Γι 'αυτό στις 3 Ιουνίου το Υπουργείο Δικαιοσύνης δημοσίευσε ένα μνημόνιο για όλους τους ομοσπονδιακούς εισαγγελείς ανακοινώνοντας ότι οι εισαγγελείς πρέπει τώρα να αναφέρουν περιστατικά ransomware με τον ίδιο τρόπο που αναφέρουν κρίσιμες απειλές για την εθνική μας ασφάλεια. Προκειμένου να αντιμετωπιστεί επαρκώς το ransomware, η ανταλλαγή πληροφοριών είναι το κλειδί. Στα μέσα Ιουνίου, ο χειριστής της RaaS REvil ανακοίνωσε ότι είχε ενημερώσει το ήθος του και την αναμενόμενη συμπεριφορά τους για εξέταση κατά την επιλογή θυμάτων ransomware, όπως θεωρώντας σχολεία και νοσοκομεία εκτός ορίου για επιθέσεις. Αυτή η ενημερωμένη μεθοδολογία ήταν πιθανότατα μια προσπάθεια μείωσης του προφίλ REvil, ώστε να μην γίνει στόχος προτεραιότητας για το DOJ των ΗΠΑ.
Το Blockchain analytics παρέχει κρίσιμη ευφυΐα κρυπτογράφησης που απαιτείται για τον εντοπισμό ηθοποιών ransomware. Μόνο μέσω της συνεργασίας μεταξύ ομάδων όπως η Task Force Ransomware μπορούν οι εταιρείες πληροφοριών κρυπτογράφησης να αντιμετωπίσουν αυτούς τους υπερεθνικούς παράγοντες απειλής. Είναι ζωτικής σημασίας όχι μόνο να εντοπίσουμε τα έσοδα του ransomware για την εύρεση και τη διακοπή των χειριστών, αλλά και για να σκληρύνουμε τα συστήματα και να εκπαιδεύσουμε το κοινό σχετικά με τον τρόπο με τον οποίο συμβαίνουν αυτοί οι συμβιβασμοί προκειμένου να μετριαστεί σωστά η αναστάτωση. Οι εταιρείες απάντησης περιστατικών έχουν τεράστιες βάσεις δεδομένων για πληρωμές λύτρων από τους πελάτες τους. Ο εντοπισμός και η παρακολούθηση αυτών των κεφαλαίων μπορεί να βοηθήσει στη δημιουργία ενός πλήρους προφίλ της ομάδας ransomware.
Επειδή οι ηθοποιοί ransomware χρησιμοποιούν δημόσιους αποκλεισμούς για τη λήψη πληρωμών, όλες οι συναλλαγές μπορούν να προβληθούν στην αλυσίδα, επιτρέποντας στην επιβολή του νόμου (ή σε οποιονδήποτε) να εντοπίσει τη ροή χρημάτων. Η χρήση ενός εργαλείου αναλυτικών στοιχείων blockchain όπως το CipherTrace Inspector παρέχει ακόμη πρόσθετη νοημοσύνη στο ίχνος και την έρευνα, όπως τον εντοπισμό πότε τα χρήματα έχουν κατατεθεί σε ανταλλαγή. Μόλις τα χρήματα φτάσουν σε μια κεντρική ανταλλαγή, η επιβολή του νόμου μπορεί να σταματήσει την κυκλοφορία χρημάτων ζητώντας από το χρηματιστήριο να παγώσει τον λογαριασμό και, εάν οι χρήστες έπρεπε να υποβληθούν σε διαδικασία KYC, θα μπορούσε να είναι δυνατή η αναγνώριση του ατόμου πίσω από τη διεύθυνση.
- 11
- 7
- πρόσβαση
- Λογαριασμός
- Πρόσθετος
- Υιοθετώ
- Όλα
- Όλες οι συναλλαγές
- Αμερική
- Αμερικανικη
- ανάλυση
- analytics
- ανακοίνωσε
- γύρω
- σύλληψη
- προσόν
- Bitcoin
- blockchain
- BTC
- Κτίριο
- επιχείρηση
- Καμπάνιες
- προκαλούνται
- χημική ουσία
- CipherTrace
- Κοινός
- εταίρα
- ενοποίηση
- Εγκλήματα
- κρυπτο
- cryptocurrency
- Νόμισμα
- στον κυβερνοχώρο
- εγκλήματος στον κυβερνοχώρο
- Κυβερνασφάλεια
- βάσεις δεδομένων
- ημέρα
- Υπουργείο Δικαιοσύνης
- Εργολάβος
- προγραμματιστές
- Συσκευές
- ψηφιακό
- Ψηφιακή περιουσία
- ψηφιακό νόμισμα
- Αναστάτωση
- DoJ
- Ήθος
- ανταλλαγή
- Χρηματιστήρια
- εκτελεστικός
- εκτελεστικό διάταγμα
- εκβιασμός
- FBI
- Ομοσπονδιακός
- Όνομα
- ροή
- Φρανσίσκο
- Πάγωμα
- πλήρη
- χρήματα
- Παγκόσμιο
- Group
- Ανάπτυξη
- σιδηροπρίονο
- χάκερ
- κρατήστε
- νοσοκομεία
- Σπίτι
- Πως
- HTTPS
- προσδιορίσει
- Επίπτωση
- Συμπεριλαμβανομένου
- πληροφορίες
- Υποδομή
- Νοημοσύνη
- έρευνα
- IT
- Δικαιοσύνη
- Τμήμα Δικαιοσύνης
- Κλειδί
- πλήκτρα
- KYC
- Νόμος
- επιβολή του νόμου
- malware
- εκατομμύριο
- μοντέλο
- Εθνική ασφάλεια
- δίκτυο
- Βόρειος
- Βόρεια Αμερική
- λειτουργίες
- τάξη
- ΑΛΛΑ
- εταίρος
- Πληρωμή
- πληρωμή
- πληρωμές
- κατοχή
- τιμή
- μυστικότητα
- ιδιωτικός
- ιδιωτικού κλειδιού
- Ιδιωτικά κλειδιά
- Προφίλ ⬇️
- δημόσιο
- Λύτρα
- ransomware
- Επίθεση Ransomware
- Ανάκτηση
- ανάκτηση
- αναφέρουν
- απάντησης
- r Κακό
- Σαν
- Σαν Φρανσίσκο
- Σχολεία
- ασφάλεια
- Αρπάζω
- κατασχεθεί
- So
- διαίρεση
- Μελών
- επιτραχήλιο
- συστήματα
- στόχος
- ομάδα εργασίας
- Τεχνικός
- Τεχνολογία
- απειλή
- απειλές
- ώρα
- Παρακολούθηση
- Συναλλαγές
- Ενωμένος
- United States
- us
- USD
- Χρήστες
- Πορτοφόλι
- Λευκός Οίκος
- Ο ΟΠΟΊΟΣ
- αξία