Ransomware er en type ondsinnet programvare som er designet for å låse filer på en datamaskin eller et system til løsepenger er betalt. En av de første løsepenger som noensinne er dokumentert, var PC -en Cyborg fra 1989 - den krevde en snaus løsesum på 189 dollar for å dekryptere låste filer.

Datateknologi har gått langt siden 1989, og ransomware har utviklet seg sammen med det, noe som førte til komplekse og potente varianter som WastedLocker. Så hvordan fungerer WastedLocker? Hvem har blitt påvirket av det? Og hvordan kan du beskytte enhetene dine?

Hva er WastedLocker og hvordan fungerer det?

WastedLocker ble først oppdaget tidlig i 2020, og drives av de beryktede hackergruppen Evil Corp., som også er kjent som INDRIK SPIDER eller Dridex -gjengen, og mest sannsynlig har tilknytning til russiske etterretningsbyråer.

Det amerikanske finansdepartementets kontor for utenlandsk aktivakontroll utstedte sanksjoner mot Evil Corp i 2019 og justisdepartementet anklaget den påståtte lederen Maksim Yakubets, som har tvunget gruppen til å endre taktikk.

instagram viewer

WastedLocker -angrep begynner vanligvis med SocGholish, en Remote Access Trojan (RAT) som utgir seg for nettleser- og Flash -oppdateringer for å lure målet til å laste ned ondsinnede filer.

I SLEKT: Hva er en Trojan for ekstern tilgang?

Når målet har lastet ned den falske oppdateringen, krypterer WastedLocker effektivt alle filer på datamaskinen og legger dem til med "bortkastet", som ser ut til å være et nikk til internett memes inspirert av Grand Theft Auto videospill serie.

Så for eksempel vil en fil som opprinnelig het "muo.docx" vises som "muo.docx.wasted" på en kompromittert maskin.

For å låse filer bruker WastedLocker en kombinasjon av Advanced Encryption Standard (AES) og Rivest-Shamir-Adleman (RSA) krypteringsalgoritmer, noe som gjør dekryptering praktisk talt umulig uten ondskap Corps private nøkkel.

AES -krypteringsalgoritmen brukes av finansinstitusjoner og myndigheter - National Security Agency (NSA) bruker den for eksempel til å beskytte topphemmelig informasjon.

Oppkalt etter tre Massachusetts Institute of Technology (MIT) forskere som først offentlig beskrev det i På 1970 -tallet er RSA -krypteringsalgoritmen betydelig tregere enn AES og brukes for det meste til å kryptere små mengder data.

WastedLocker etterlater et løsesum for hver fil den krypterer, og henviser offeret til å kontakte angriperne. Meldingen inneholder vanligvis en Protonmail, Eclipso eller Tutanota e -postadresse.

Løsepenger er vanligvis tilpasset, nevner målorganisasjonen ved navn, og advarer mot å kontakte myndighetene eller dele kontakt -e -postene med tredjeparter.

Malware som er designet for å målrette mot store selskaper, krever vanligvis løsepenger på opptil 10 millioner dollar.

WastedLockers høyprofilerte angrep

I juni 2020, Symantec avdekket 31 WastedLocker-angrep på amerikanske selskaper. De aller fleste målrettede organisasjoner var store husholdningsnavn og 11 var Fortune 500 -selskaper.

Ransomware tok sikte på selskaper i forskjellige sektorer, inkludert produksjon, informasjonsteknologi og media og telekommunikasjon.

Evil Corp brøt nettverkene til målrettede selskaper, men Symantec klarte å forhindre hackere i å distribuere WastedLocker og holde data for løsepenger.

Det virkelige totale antallet angrep kan være mye høyere fordi ransomware ble distribuert gjennom dusinvis av populære, legitime nyhetsnettsteder.

Unødvendig å si at selskaper som er verdt milliarder av dollar har topp beskyttelse, noe som sier mye om hvor farlig WastedLocker er.

Samme sommer distribuerte Evil Corp WastedLocker mot det amerikanske GPS- og treningssporingsselskapet Garmin, som anslås å ha en årlig omsetning på over 4 milliarder dollar.

Som det israelske cybersikkerhetsselskapet Votiro bemerket den gangen, angrepet lamset Garmin. Det forstyrret mange av selskapets tjenester, og hadde til og med effekt på kundesentre og noen produksjonslinjer i Asia.

Garmin har angivelig betalt 10 millioner dollar i løsepenger for å få tilgang til systemene sine igjen. Det tok selskapets dager å få tjenestene i gang, noe som antagelig forårsaket massive økonomiske tap.

Selv om Garmin tilsynelatende syntes å betale løsepenger var den beste og mest effektive måten å løse situasjonen på, er det viktig å merke seg at man aldri skal stole på nettkriminelle - noen ganger har de ikke noe insentiv til å oppgi en dekrypteringsnøkkel etter å ha mottatt løsepengen innbetaling.

Vanligvis er det beste tiltaket ved cyberangrep å kontakte myndighetene umiddelbart.

Dessuten innfører regjeringer over hele verden sanksjoner mot hackergrupper, og noen ganger disse sanksjonene gjelder også for enkeltpersoner som sender inn eller tilrettelegger for løsepenger, så det er også juridiske farer ta i betraktning.

Hva er Hades Variant Ransomware?

I desember 2020 oppdaget sikkerhetsforskere en ny ransomware -variant kalt Hades (for ikke å være forveksles med 2016 Hades Locker, som vanligvis distribueres via e -post i form av et MS Word vedlegg).

En analyse fra CrowdStrike fant ut at Hades egentlig er en 64-biters kompilert variant av WastedLocker, men identifiserte flere viktige forskjeller mellom disse to malware-truslene.

For eksempel, i motsetning til WastedLocker, etterlater Hades ikke et løsesum for hver fil den krypterer - den oppretter et enkelt løsesum. Og den lagrer nøkkelinformasjonen i krypterte filer, i motsetning til å lagre den i løsepenger.

Hades -varianten etterlater ikke kontaktinformasjon; den leder i stedet ofre til et Tor -nettsted, som er tilpasset for hvert mål. Tor -siden lar offeret dekryptere én fil gratis, noe som tydeligvis er en måte for Evil Corp å demonstrere at dekrypteringsverktøyene faktisk fungerer.

Hades har først og fremst rettet seg mot store organisasjoner med base i USA med årlige inntekter over $ 1 milliarder, og distribusjonen markerte enda et kreativt forsøk fra Evil Corp på å rebrande og unngå sanksjoner.

Slik beskytter du mot WastedLocker

Med cyberangrep på vei oppover, investerer du i verktøy for beskyttelse mot ransomware er et absolutt must. Det er også viktig å holde programvaren oppdatert på alle enheter for å forhindre at nettkriminelle utnytter kjente sårbarheter.

Sofistikerte ransomware -varianter som WastedLocker og Hades har muligheten til å bevege seg lateralt, noe som betyr at de kan få tilgang til alle data på et nettverk, inkludert skylagring. Dette er grunnen til at vedlikehold av en offline sikkerhetskopiering er den beste måten å beskytte viktige data mot inntrengere.

Siden ansatte er den vanligste årsaken til brudd, bør organisasjoner investere tid og ressurser i å utdanne ansatte om grunnleggende sikkerhetspraksis.

Til syvende og sist er implementering av en Zero Trust -sikkerhetsmodell uten tvil den beste måten å sikre en organisasjon er beskyttet mot cyberangrep, inkludert de som ble utført av Evil Corp og annen statsstøttet hacker grupper.

DelekvitringE -post
Hva er et Zero Trust Network og hvordan beskytter det dataene dine?

Ønsker du å sikre virksomheten din mot cyberkriminelle? VPN-er er flotte, men de er kanskje ikke like effektive som ZTN-er med programvaredefinerte omkretser.

Les neste

Relaterte temaer
  • Sikkerhet
  • Ransomware
  • Online sikkerhet
  • Skadevare
  • Datasikkerhet
Om forfatteren
Damir Mujezinovic (10 artikler publisert)

Damir er en frilansskribent og reporter hvis arbeid fokuserer på cybersikkerhet. Utenfor å skrive liker han å lese, musikk og film.

Mer fra Damir Mujezinovic

Abonner på vårt nyhetsbrev

Bli med i vårt nyhetsbrev for tekniske tips, anmeldelser, gratis ebøker og eksklusive tilbud!

Klikk her for å abonnere