สนใจ $10,000,000 หรือไม่? พร้อมที่จะส่งทีม Clop ransomware แล้วหรือยัง

สนใจ $10,000,000 หรือไม่? พร้อมที่จะส่งทีม Clop ransomware แล้วหรือยัง

Time Stamp: 28 มิถุนายน 2023 12:59 น.
สนใจ $10,000,000 ไหม? พร้อมที่จะส่งทีมงานแรนซั่มแวร์ Clop แล้วหรือยัง? PlatoBlockchain ข้อมูลอัจฉริยะ ค้นหาแนวตั้ง AI.
by นักเขียนเรื่อง Naked Security

โปรไฟล์สูงล่าสุด การหาประโยชน์จากอาชญากรรมไซเบอร์ เนื่องจากทีมงาน Clop ransomware ไม่ใช่การโจมตีแบบ ransomware แบบเดิมๆ ของคุณ (หาก "แบบดั้งเดิม" เป็นคำที่ถูกต้องสำหรับกลไกการขู่กรรโชกที่ย้อนกลับไปในปี 1989 เท่านั้น)

การโจมตีด้วยแรนซัมแวร์ทั่วไปคือการที่ไฟล์ของคุณถูกเข้ารหัส ธุรกิจของคุณหยุดชะงักโดยสิ้นเชิง และข้อความปรากฏขึ้นเพื่อแจ้งให้คุณทราบว่ามีคีย์ถอดรหัสสำหรับข้อมูลของคุณ...

…สำหรับสิ่งที่มักจะเป็นเงินจำนวนมหาศาล

วิวัฒนาการทางอาญา

อย่างที่คุณสามารถจินตนาการได้ว่า แรนซัมแวร์กลับไป ในสมัยก่อนที่ทุกคนจะเข้าถึงอินเทอร์เน็ตได้ (และเมื่อผู้ที่ออนไลน์มีความเร็วในการถ่ายโอนข้อมูลที่ไม่ได้วัดเป็นกิกะบิตหรือแม้แต่เมกะบิตต่อวินาที แต่มักเป็นเพียงหน่วยกิโลบิตเท่านั้น) แนวคิดในการเข้ารหัสไฟล์ของคุณที่พวกเขาวางอยู่นั้นเป็นกลอุบายที่ขี้ขลาดตาขาว ประหยัดเวลา.

อาชญากรลงเอยด้วยการควบคุมข้อมูลของคุณโดยสมบูรณ์ โดยไม่จำเป็นต้องอัปโหลดทุกอย่างก่อน แล้วจึงเขียนทับไฟล์ต้นฉบับบนดิสก์

ยังดีกว่าสำหรับมิจฉาชีพ พวกเขาสามารถไล่ตามคอมพิวเตอร์หลายแสนเครื่องหรือหลายล้านเครื่องได้ในคราวเดียว และพวกเขาไม่จำเป็นต้องเก็บข้อมูลทั้งหมดของคุณไว้เพื่อหวังที่จะ "ขายคืน" ให้คุณ (ก่อนที่พื้นที่เก็บข้อมูลบนคลาวด์จะกลายมาเป็นบริการสำหรับผู้บริโภค พื้นที่ดิสก์สำหรับการสำรองข้อมูลมีราคาแพง และไม่สามารถหาซื้อได้ง่ายในทันทีทันใด)

ผู้ที่ตกเป็นเหยื่อของแรนซัมแวร์ที่เข้ารหัสไฟล์มักจบลงด้วยการทำหน้าที่เป็นผู้คุมข้อมูลในคุกที่ไม่เต็มใจ

ไฟล์ของพวกเขาถูกปล่อยให้อยู่ใกล้แค่เอื้อม โดยมักจะมีชื่อไฟล์ดั้งเดิม (แม้ว่าจะมีนามสกุลเพิ่มเติมเช่น .locked เพิ่มในตอนท้ายเพื่อถูเกลือลงในแผล) แต่ไม่สามารถเข้าใจได้อย่างเต็มที่กับแอพที่มักจะเปิด

แต่ในโลกของคลาวด์คอมพิวติ้งในปัจจุบัน การโจมตีทางไซเบอร์ที่อาชญากรแรนซัมแวร์ขโมยสำเนาของไฟล์สำคัญของคุณทั้งหมดหรืออย่างน้อยหลายไฟล์นั้นไม่เพียงแต่เป็นไปได้ในทางเทคนิคเท่านั้น แต่ยังเป็นเรื่องปกติอีกด้วย

เพื่อให้ชัดเจน ในหลายกรณี หากไม่ใช่กรณีส่วนใหญ่ ผู้โจมตีจะช่วงชิงไฟล์ในเครื่องของคุณด้วยเช่นกัน เพราะพวกเขาสามารถทำได้

ท้ายที่สุดแล้ว การสแครมไฟล์บนคอมพิวเตอร์หลายพันเครื่องพร้อมกันมักจะเร็วกว่าการอัปโหลดทั้งหมดไปยังระบบคลาวด์

โดยทั่วไปแล้วอุปกรณ์จัดเก็บข้อมูลในเครื่องจะให้แบนด์วิธข้อมูลหลายกิกะบิตต่อวินาทีต่อไดรฟ์ต่อคอมพิวเตอร์หนึ่งเครื่อง ในขณะที่เครือข่ายองค์กรจำนวนมากมีการเชื่อมต่ออินเทอร์เน็ตไม่กี่ร้อยเมกะบิตต่อวินาทีหรือน้อยกว่านั้น ซึ่งใช้ร่วมกันระหว่างทุกคน

การสแครมไฟล์ทั้งหมดของคุณบนแล็ปท็อปและเซิร์ฟเวอร์ทั้งหมดของคุณในทุกเครือข่ายหมายความว่าผู้โจมตีสามารถแบล็กเมล์คุณโดยทำให้ธุรกิจของคุณล้มละลายหากคุณไม่สามารถกู้คืนข้อมูลสำรองได้ทันเวลา

(ทุกวันนี้อาชญากรแรนซัมแวร์มักจะพยายามอย่างเต็มที่เพื่อทำลายข้อมูลที่สำรองไว้ของคุณให้มากที่สุดเท่าที่จะหาได้ก่อนที่จะทำส่วนการรบกวนไฟล์)

แบล็กเมล์ชั้นแรกพูดว่า “จ่ายเงินแล้วเราจะให้คีย์ถอดรหัสที่คุณต้องใช้ในการสร้างไฟล์ทั้งหมดของคุณใหม่จากที่ที่อยู่ในคอมพิวเตอร์แต่ละเครื่อง ดังนั้นแม้ว่าคุณจะมีการสำรองข้อมูลที่ช้า บางส่วนหรือไม่มีเลย คุณก็จะกลับมาใช้งานได้อีกครั้งในเร็วๆ นี้ ปฏิเสธที่จะจ่ายเงินและการดำเนินธุรกิจของคุณจะยังคงอยู่ที่เดิม จมน้ำตาย”

ในขณะเดียวกัน แม้ว่าพวกมิจฉาชีพจะมีเวลาเพียงแค่ขโมยไฟล์ที่น่าสนใจที่สุดของคุณจากคอมพิวเตอร์ที่น่าสนใจที่สุดบางเครื่องของคุณ แต่พวกเขาก็ยังได้รับดาบ Damocles เล่มที่สองมาจ่อหัวคุณ

การแบล็กเมล์ชั้นที่สองนั้นดำเนินไปตามแนวของ “ชำระเงินและเราสัญญาว่าจะลบข้อมูลที่ถูกขโมย ปฏิเสธที่จะจ่ายและเราจะไม่เพียงแค่ยึดมันไว้ เราจะใช้มันอย่างบ้าคลั่ง”

พวกมิจฉาชีพมักจะขู่ว่าจะขายข้อมูลถ้วยรางวัลของคุณให้กับอาชญากรคนอื่นๆ เพื่อส่งต่อไปยังหน่วยงานกำกับดูแลและสื่อในประเทศของคุณ หรือเพียงแค่เผยแพร่ข้อมูลออนไลน์อย่างเปิดเผยเพื่อให้ทุกคนและทุกคนสามารถดาวน์โหลดและรับชมได้

ลืมการเข้ารหัส

ในการโจมตีแบบกรรโชกทางไซเบอร์ อาชญากรที่ขโมยข้อมูลของคุณไปแล้วอาจข้ามส่วนการรบกวนไฟล์ หรือไม่สามารถดึงข้อมูลออกมาได้

ในกรณีนั้น ผู้ที่ตกเป็นเหยื่อจะถูกแบล็กเมล์เพียงเพราะทำให้พวกอาชญากรเงียบ ไม่ได้รับไฟล์ของพวกเขากลับมาเพื่อให้ธุรกิจกลับมาดำเนินกิจการได้อีกครั้ง

ดูเหมือนว่าจะเป็นสิ่งที่เกิดขึ้นในโปรไฟล์ระดับสูงล่าสุด MOVEit โจมตีที่ซึ่งแก๊ง Clop หรือบริษัทในเครือรู้เรื่องช่องโหว่ Zero-day ที่ใช้ประโยชน์ได้ในซอฟต์แวร์ที่รู้จักกันในชื่อ MOVEit...

…นั่นคือทั้งหมดเกี่ยวกับการอัปโหลด จัดการ และแบ่งปันข้อมูลองค์กรอย่างปลอดภัย รวมถึงส่วนประกอบที่ช่วยให้ผู้ใช้เข้าถึงระบบโดยไม่ต้องใช้อะไรที่ซับซ้อนไปกว่าเว็บเบราว์เซอร์ของตน

น่าเสียดายที่ช่องโหว่ Zero-day มีอยู่ในโค้ดบนเว็บของ MOVEit ดังนั้นใครก็ตามที่เปิดใช้งานการเข้าถึงบนเว็บจะเปิดเผยฐานข้อมูลไฟล์ขององค์กรโดยไม่ได้ตั้งใจต่อคำสั่ง SQL ที่ฉีดจากระยะไกล

เห็นได้ชัดว่ามีบริษัทมากกว่า 130 แห่งที่ถูกสงสัยว่าถูกขโมยข้อมูลก่อนที่ MOVEit zero-day จะถูกค้นพบและแพตช์

เหยื่อหลายรายดูเหมือนจะเป็นพนักงานที่รายละเอียดบัญชีเงินเดือนถูกละเมิดและถูกขโมย ไม่ใช่เพราะนายจ้างของพวกเขาเองเป็นลูกค้าของ MOVEit แต่เป็นเพราะนายจ้างเป็นผู้ประมวลผลบัญชีเงินเดือนจากภายนอก และข้อมูลของพวกเขาถูกขโมยจากฐานข้อมูลบัญชีเงินเดือนของผู้ให้บริการรายนั้น

นอกจากนี้ ดูเหมือนว่าอย่างน้อยบางองค์กรที่ถูกแฮ็กด้วยวิธีนี้ (ไม่ว่าจะโดยตรงผ่านการตั้งค่า MOVEit ของพวกเขาเองหรือโดยอ้อมผ่านหนึ่งในผู้ให้บริการของพวกเขา) เป็นหน่วยงานบริการสาธารณะของสหรัฐฯ

ให้รางวัลสำหรับการคว้า

สถานการณ์ที่ผสมผสานกันนี้ทำให้ทีม US Rewards for Justice (RFJ) ซึ่งเป็นส่วนหนึ่งของกระทรวงการต่างประเทศสหรัฐฯ (ชื่อเทียบเท่าในประเทศของคุณอาจใช้ชื่อว่า Foreign Affairs หรือ Foreign Ministry) เตือนทุกคนบน Twitter ดังนี้:

RFJ ของ เว็บไซต์ของตัวเองกล่าวว่าตามที่อ้างถึงในทวีตด้านบน:

Rewards for Justice เสนอรางวัลสูงถึง 10 ล้านดอลลาร์สำหรับข้อมูลที่นำไปสู่การระบุตัวตนหรือตำแหน่งของบุคคลใดก็ตาม ซึ่งในขณะที่ดำเนินการตามคำสั่งหรือภายใต้การควบคุมของรัฐบาลต่างประเทศ มีส่วนร่วมในกิจกรรมทางไซเบอร์ที่เป็นอันตรายต่อโครงสร้างพื้นฐานที่สำคัญของสหรัฐฯ ที่ละเมิด พระราชบัญญัติการฉ้อฉลและการละเมิดคอมพิวเตอร์ (CFAA)

ไม่ว่าผู้แจ้งข่าวจะทวีคูณมูลค่า 10,000,000 ดอลลาร์หรือไม่ หากพวกเขาระบุผู้กระทำความผิดหลายคนไม่ชัดเจน และรางวัลแต่ละรายการระบุว่า "สูงถึง" $10 ล้านแทนที่จะเป็น 10 ล้านดอลลาร์ที่ไม่เจือปนทุกครั้ง...

…แต่มันน่าสนใจที่จะดูว่ามีใครตัดสินใจที่จะพยายามเรียกร้องเงินหรือไม่

ประทับเวลา:

เพิ่มเติมจาก ความปลอดภัยเปล่า