Рансомваре је врста злонамерног софтвера дизајнираног за закључавање датотека на рачунару или систему док се не плати откупнина. Један од првих докумената о откупнини који је икада документован био је ПЦ Циборг из 1989. године - који је захтевао оскудну откупнину од 189 УСД за дешифровање закључаних датотека.

Рачунарска технологија је отишла далеко од 1989. године, а рансомваре се развијао заједно са њом, што је довело до сложених и моћних варијанти као што је ВастедЛоцкер. Па како функционише ВастедЛоцкер? На кога је то утицало? И како можете заштитити своје уређаје?

Шта је ВастедЛоцкер и како функционише?

Први пут откривен почетком 2020. године, ВастедЛоцкер -ом управљају озлоглашени хакерска група Евил Цорп, који је такође познат као ИНДРИК СПИДЕР или банда Дридек, и највероватније има везе са руским обавештајним агенцијама.

Канцеларија Министарства спољних послова Сједињених Држава за контролу стране имовине издала је санкције против Евил Цорп -а 2019 а Министарство правде подигло је оптужницу против свог наводног вође Максима Иакубеца, што је присилило групу да промени тактику.

instagram viewer

Напади ВастедЛоцкер обично почињу са СоцГхолисх -ом, тројанцем за даљински приступ (РАТ) који се лажно представља као ажурирање прегледача и Фласх -а како би преварио циљ у преузимању злонамерних датотека.

ПОВЕЗАН: Шта је тројанац за даљински приступ?

Након што мета преузме лажно ажурирање, ВастедЛоцкер ефикасно шифрује све датотеке на рачунару и додаје их са „протраћено“, што изгледа као наговештај интернет мемовима инспирисаним видео игром Гранд Тхефт Ауто серија.

Тако би се, на пример, датотека првобитно названа "муо.доцк" појавила као "муо.доцк.вастед" на компромитованој машини.

За закључавање датотека ВастедЛоцкер користи комбинацију Напредног стандарда шифровања (АЕС) и Ривест-Схамир-Адлеман (РСА) алгоритми за шифровање, што чини дешифровање практично немогућим без зла Приватни кључ компаније.

АЕС алгоритам за шифровање користе финансијске институције и владе - Агенција за националну безбедност (НСА), на пример, користи га за заштиту строго поверљивих информација.

Назван по тројици научника са Института за технологију Массацхусеттс (МИТ) који су га први пут јавно описали у 1970 -их, РСА алгоритам за шифровање знатно је спорији од АЕС -а и углавном се користи за шифровање малих количина података.

ВастедЛоцкер оставља откупну поруку за сваку датотеку коју шифрира и упућује жртву да контактира нападаче. Порука обично садржи адресу е -поште Протонмаил, Ецлипсо или Тутанота.

Белешке о откупнини се обично прилагођавају, помињу се циљна организација по имену и упозоравају да се не контактира са властима или не дели контакт адреса е -поште са трећим странама.

Дизајниран да циља на велике компаније, малвер обично захтева откупнину до 10 милиона долара.

ВастедЛоцкер-ови напади високог профила

У јуну 2020. Симантец открио 31 напад ВастедЛоцкер-а на компаније са седиштем у САД-у. Велика већина циљних организација била су велика имена домаћинстава, а 11 компанија из Фортуне 500.

Рансомваре је имао за циљ компаније у различитим секторима, укључујући производњу, информациону технологију, медије и телекомуникације.

Евил Цорп је пробио мреже циљаних компанија, али Симантец је успео да спречи хакере да примене ВастедЛоцкер и чувају податке ради откупа.

Стварни укупан број напада могао би бити много већи јер је рансомваре распоређен на десетине популарних, легитимних сајтова са вестима.

Непотребно је рећи да компаније вредне милијарде долара имају врхунску заштиту, што довољно говори о томе колико је ВастедЛоцкер опасан.

Истог лета, Евил Цорп је употребио ВастедЛоцкер против америчке компаније Гармин за ГПС и праћење фитнеса, за коју се процењује да има годишњи приход од преко 4 милијарде долара.

Као израелска компанија за сајбер безбедност Вотиро како је тада примећено, напад је осакатио Гармин. То је пореметило многе услуге компаније, па је чак имало ефекта и на позивне центре и неке производне линије у Азији.

Гармин је наводно платио откупнину од 10 милиона долара да поврати приступ својим системима. Компанији су били потребни дани да покрене своје услуге, што је вероватно изазвало огромне финансијске губитке.

Иако је Гармин очигледно мислио да је плаћање откупнине најбољи и најефикаснији начин за решавање ситуације, важно је напоменути да никада не треба веровати сајбер криминалцима - понекад немају мотива да дају кључ за дешифровање након што добију откупнину плаћање.

Генерално, најбољи начин деловања у случају сајбер напада је да се одмах обратите властима.

Осим тога, владе широм света уводе санкције против хакерских група, а понекад и те санкције примењују се и на појединце који подносе или олакшавају откупнину, па постоје и правни ризици за размотрити.

Шта је Хадес Вариант Рансомваре?

У децембру 2020. године, истраживачи безбедности приметили су нову варијанту рансомваре -а названу Хадес (неће бити збуњен са Хадес Лоцкер 2016, који се обично примењује путем е -поште у облику МС Ворд -а прилог).

Анализа из ЦровдСтрике открио да је Хадес у суштини 64-битна компилирана варијанта ВастедЛоцкера, али је идентификовао неколико кључних разлика између ове две претње злонамерним софтвером.

На пример, за разлику од ВастедЛоцкера, Хадес не оставља белешку о откупнини за сваку датотеку коју шифрује - ствара једну белешку о откупнини. И чува кључне информације у шифрованим датотекама, за разлику од чувања у белешци о откупнини.

Варијанта Хад не оставља контакт податке; уместо тога, усмерава жртве на Тор локацију, која је прилагођена за сваку мету. Тор локација омогућава жртви да бесплатно дешифрује једну датотеку, што је очигледно начин да Евил Цорп покаже да њени алати за дешифровање заиста функционишу.

Хадес је првенствено циљао велике организације са седиштем у САД са годишњим приходом већим од 1 УСД милијарди, а његово постављање означило је још један креативан покушај Евил Цорп -а да промени робну марку и избегне санкције.

Како се заштитити од ВастедЛоцкер -а

Са све већим бројем сајбер напада, улагање у алати за заштиту од рансомваре -а је апсолутна обавеза. Такође је императив ажурирање софтвера на свим уређајима како би се спречило да сајбер криминалци искористе познате рањивости.

Софистициране варијанте рансомвареа као што су ВастедЛоцкер и Хадес имају могућност бочног кретања, што значи да могу добити приступ свим подацима на мрежи, укључујући складиште у облаку. Зато је одржавање резервне копије изван мреже најбољи начин да заштитите важне податке од уљеза.

Будући да су запослени најчешћи узрок кршења, организације би требале уложити вријеме и ресурсе у едукацију особља о основним сигурносним праксама.

Коначно, примена модела безбедности Зеро Труст је вероватно најбољи начин да се обезбеди организација је заштићен од кибернетичких напада, укључујући оне које су извели Евил Цорп и други хакери које спонзорише држава групе.

ОбјавиТвеетЕмаил
Шта је мрежа нултог поверења и како штити ваше податке?

Желите да заштитите своје пословање од сајбер криминалаца? ВПН-ови су одлични, али можда нису тако ефикасни као ЗТН-ови са софтверски дефинисаним ободима.

Прочитајте следеће

Повезане теме
  • Сигурност
  • Рансомваре
  • Безбедност на мрежи
  • Злонамерних програма
  • Сигурност података
О аутору
Дамир Мујезиновић (10 објављених чланака)

Дамир је слободни писац и извештач чији се рад фокусира на сајбер безбедност. Осим писања, ужива у читању, музици и филму.

Више од Дамира Мујезиновића

Претплатите се на наш билтен

Придружите се нашем билтену за техничке савете, критике, бесплатне е -књиге и ексклузивне понуде!

Кликните овде да бисте се претплатили