Co je WastedLocker Ransomware a jak se proti němu chránit?
Jako většina ransomwaru,WastedLocker útočí na běžící počítače Okna . WastedLocker je však velký lovec zvěře
Útočí na velké korporace a žádá obrovské výkupné. Zatímco mnoho ransomwarových útoků požaduje několik set dolarů, WastedLocker požaduje miliony dolarů .
Skupina hackerů za WastedLocker je velmi dobře organizovaná. Od prvních let tohoto století tým funguje a vydělal více než 100 milionů dolarů.
Kdo stojí za ransomwarem WastedLocker?
WastedLocker je produktem Společnost Evil Corp , který je také známý jako Indrik Pavouk . Jedná se o ruskou hackerskou skupinu, která zaznamenala svůj první úspěch Zeus , bankovní trojan. Nejznámějším produktem této skupiny byl Dridex , bankovní trojan, který vydělal spoustu peněz. Dridex byl aktivní od roku 2011 do roku 2020 a byl vyvinut jako vylepšení Zeus.
Skupina Evil Corp je vedena Maxim Yakubets a Igor Turašev . V prosinci 2019 vydal Úřad pro kontrolu zahraničních aktiv (OFAC) Ministerstva financí USA na dvojici zatykač. Navíc vypsala odměnu 5 milionů dolarů za informace vedoucí k jejich zatčení. Ale bohužel stále nebyli zatčeni.
Hlavním důvodem zájmu amerických úřadů o Evil Corp je Dridex, ne WastedLocker ransomware . Vážná pozornost amerických bezpečnostních agentur však donutila Evil Corp přehodnotit všechny své aktivity a skupina dočasně utichla až do začátku roku 2020.
Zdroj ransomwaru WastedLocker
Evil Corp poprvé vyvinul ransomware v roce 2017 s bitpaymer šifrovat . Toto byl „ lovec velké zvěře ,“ což znamená, že cílila na velké korporace a žádala velké výkupné. Bitpaymer byl předchůdcem ransomwaru WastedLocker.
Bitpaymer byl spuštěn v roce 2017 se zaměřením nemocnice ve Spojeném království. Útoky se pak přesunuly a zaměřily se na velké americké korporace . Mechanismus doručení ransomwaru byl založen na modulech Dridex.
V roce 2019 společnost Evil Corp vytvořila variantu Bitpaymer, tzv DoppelPaymer , a Ransomware-as-a-Service Systém. RaaS umožňuje dalším hackerům používat ransomwarový systém za poplatek, aniž by jim umožnili přístup ke kódu.
V květnu 2020 skupina zahájila činnost WastedLocker jako náhrada za Bitpaymer. Nový ransomware sdílí některé procedurální podobnosti s Bitpaymerem, ale má zcela odlišný kód.
WastedLocker útoky jsou vysoce přizpůsobené . Nejen, že skupina provádí rozsáhlý výzkum, aby získala vstup do sítě, ale vyrábí různé moduly pro každý útok a cílené výkupné. Skupina je také schopna upravit útok tak, jak k němu dojde. V některých případech byli správci sítě schopni najít a odstranit dropper WastedLocker, což způsobilo, že skupina ručně zahodila kradmější náhradu.
Začátek útoku WastedLocker
Většina cílů ransomwaru WastedLocker byly velké americké korporace. Oběť vidí vyskakovací okno při návštěvě konkrétních stránek, které jim doporučují aktualizovat prohlížeč. Vyskakovací okno po stisknutí stáhne soubor zip, který obsahuje modul JavaScriptu nazvaný SocGolish .
Webové stránky, na kterých se objevují vyskakovací okna, nejsou majetkem společnosti Evil Corp. Spíše je vlastní a provozují legitimní organizace a skupině Evil Corp se je podařilo infikovat. Zpravodajské weby jsou pravidelně zaměřeny na tuto infekci.
Modul instaluje a spouští skripty PowerShellu a Kobaltový úder zadní dveře. Tím se hackeři dostanou ke vstupu a k pokračování v útoku použijí manuální i automatické metody.
Co se stane při útoku ransomwaru WastedLocker?
Výchozím bodem hackera je koncový bod v systému, který má nainstalované zadní vrátka Cobalt Strike. Pomocí zkušeností a sady nástrojů služeb pro skenování systému pak hacker vytvoří profil uživatelské účty na koncovém bodu a připojení k dalším koncovým bodům v síti. Hacker bude také vyšetřovat záloha zpracuje a zahodí soubory, aby se nahrály na záložní server, aby se spustila infekce ransomware.
V tomto bodě je činnost spíše v souladu s an pokročilá přetrvávající hrozba než útok ransomwaru. Nástroje zahrnují systémy pro zachycení přihlašovacích údajů a přístup k uživatelskému účtu na zařízení, ke kterému se přistupuje prostřednictvím a vzdálený přístup systém, který umožňuje hackerovi získat identitu uživatele a komunikovat s ostatními v organizaci.
Průzkumná fáze útoku umožňuje hackerovi pohybovat se po síti a najít hlavní úložiště souborů a databázové servery, které se stanou cílem infekce. Jakmile je vedoucí týmu spokojen, stačí vysoce hodnotné cíle byly získány, je ransomware WastedLocker aktivován.
WastedLocker šifrování
Ransomware před spuštěním šifrování provede několik úkolů. Vymaže všechny stínové kopie pracovních dokumentů, které jsou generovány funkcemi automatického ukládání. Zakáže také program Windows Defender, povýší přístup k účtu na správce a nainstaluje proces šifrování jako službu.
Systém generuje pro každý soubor jiný šifrovací klíč. Tohle je AES šifra s 256bitovým klíčem. Tyto klíče jsou pak uvedeny v souboru, který je zašifrován 4096-bit RSA šifra. To je veřejný klíč , který zašifroval soubory. RSA používá k dešifrování jiný klíč. To nelze odvodit ze šifrovacího klíče. Znalost veřejného klíče je proto oběti k ničemu. Lze jej však použít jako referenční kód pro proces dešifrování. Zdá se, že páry klíčů RSA jsou generovány mimo pracoviště a veřejný klíč je odeslán do cílového systému, zatímco soukromý klíč je uložen na serveru Evil Corp pro doručení po zaplacení.
WastedLocker nešifruje systémové soubory ani spustitelné soubory, takže počítač ano stále funkční . Bude však šifrovat pracovní soubory, jako jsou dokumenty, tabulky, obrázky, video a zvukové soubory. To také šifruje soubory úložiště databáze. Spíše než jen procházet počítačem podle abecedy nebo začínat s prvním kontaktovaným počítačem, WastedLocker identifikuje nejkritičtější úložiště dat a začne tím, co se zdá být jeho nejvyšší hodnotu adresář.
Každý soubor je přepsán svou zašifrovanou verzí. K názvu souboru se pak přidá další přípona. Toto je název cílové společnosti a promarněné , například soubor s názvem výdaje.docx na počítači ve společnosti s názvem NewWorks, Inc. skončí s názvem výdaje.docx.newworkswasted. Proces šifrování také generuje výkupné pro každý zašifrovaný soubor. Text poznámky je ve všech případech stejný, takže stačí otevřít pouze jeden z nich. Toto je textový soubor a má stejný název jako šifrovaný soubor, ale s _info. V případě tohoto příkladu by tedy přidružená poznámka o výkupném byla costs.docx.newworkswasted_info.
Výkupné má následující formát:
VAŠE SÍŤ JE NYNÍ ŠIFROVANÁ
POUŽITÍ
NEPOSKYTUJTE TENTO E-MAIL TŘETÍM STRANÁM
SOUBOR NEPŘEJMENOVÁVEJTE ANI PŘESUŇUJTE
SOUBOR JE ŠIFROVÁN NÁSLEDUJÍCÍM KLÍČEM:
[begin_key]
UDRŽTE SI TO
E-mailové adresy použité pro kontakt jsou použity pouze pro jeden útok. Jsou vždy na následujících doménách:
- PROTONMAIL.CH
- AIRMAIL.CC
- ECLIPSO.CH
- TUTANOTA.COM
- PROTONMAIL.COM
Jakmile útok zašifruje všechny cílové soubory v systému oběti, které lze dosáhnout, proces ransomwaru skončí. Nepokračuje jinými strategiemi útoku, jako je mazání souborů nebo infikování spouštěcího procesu. Žádné nové soubory vytvořené po útoku nebudou zašifrovány.
Obnova z útoku WastedLocker
Tady je v žádném případě k dešifrování souborů, které byly zašifrovány během ransomwarového útoku WastedLocker, aniž byste museli platit výkupné. Šifrování AES, které převádí soubory, je neprolomitelné, stejně jako šifrování RSA, které chrání seznam klíčů AES. Neexistují žádné poradenské společnosti v oblasti kybernetické bezpečnosti, které nabízejí službu dešifrování.
Nejlepší způsob, jak se zotavit z útoku bez placení, je zajistit, že ano zálohy všech kritických souborů a že váš proces zálohování a úložiště jsou velmi dobře chráněny. Vzhledem k tomu, že skupina Evil Corp používá ruční průzkum a bude se pohybovat v systému tak dlouho, jak to bude trvat, než získá všechna nezbytná úložiště dat, jsou tato umístění záloh obvykle také zašifrována.
Požadavky na výkupné WastedLocker se pohybují mezi 500 000 a 10 miliony dolarů. Dosud nejznámější útok byl proti americké technologické firmě Garner v říjnu 2020. Společnost byla požádána o 10 milionů dolarů. Nikdo neví, zda společnost tuto celkovou částku zaplatila. Zaplatili však, protože dostali dešifrovací klíč. Zdá se tedy, že skupina Evil Corp je na to připravena vyjednávat .
Obrana proti ransomwaru WastedLocker
Dobrou zprávou je, že WastedLocker ano již není aktivní . Jeho nástupce, tzv hades, je v oběhu. To je velmi blízko k WastedLocker, ale má některé další funkce zmatku, které je třeba považovat za WastedLocker II .
Nejlepší obrana spočívá v inteligentní kybernetické bezpečnosti, citlivé a citlivé data , který má další předpisy týkající se jeho použití a ochrany. Zde jsou tři balíčky kybernetické bezpečnosti, které poskytují kompetentní obranu proti ransomwaru WastedLocker.
1. CrowdStrike Falcon Insight (ZKUŠEBNÍ ZKOUŠKA ZDARMA)
CrowdStrike Falcon Insight je balíček detekce a odezvy koncového bodu (EDR). Zahrnuje koordinační modul pro vytvoření celopodnikové ochrany. Agent koncového bodu se instaluje na Windows, macOS a Linux a dozorce je cloudová služba.
Kombinace ochrany zařízení a monitorování systému je vynikající obranou proti ransomwarovým systémům, jako jsou WastedLocker a Hades. Používají se moduly na místě detekce anomálií , což mu umožňuje odhalit zcela nový malware nebo zdánlivě skutečné aktivity prováděné legitimními uživatelskými účty. EDR izoluje zařízení, pokud zaznamená podezřelou aktivitu. Může také odstranit soubory malwaru a zabít procesy. Systém ochrany koncových bodů je plně autonomní a lze jej zakoupit samostatně. Je uváděn na trh jako CrowdStrike Falcon Prevent .
Modul založený na cloudu je a lovec hrozeb který se opírá o nahrávání protokolů aktivit od agentů koncových bodů. Tohle dostane informační kanály o hrozbách od CrowdStrike, která aktualizuje své strategie vyhledávání dat. Koordinátor bude informovat všechny koncové body o zjištěných hrozbách, ať už jsou identifikovány v datech nebo oznámeny koncovým bodem.
Můžete získat a15denní bezplatná zkušební verzespolečnosti Falcon Prevent.
Falcon Prevent Start 15denní zkušební verze ZDARMA
dva. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus je ochrana citlivých dat navržená pro podniky, které musí splňovat požadavky HIPAA, PCI DSS a další standardy ochrany osobních údajů .
Systém obsahuje modul eDiscovery, který identifikuje úložiště citlivých dat a kategorizuje typy dat, která jsou v nich uložena. To vám umožní zvýšit bezpečnostní opatření pro tato místa. Kromě toho je obranný systém DataSecurity Plus implementován jako a monitor integrity souborů (FIM). To okamžitě rozpozná šifrovací akce a zablokuje je.
Systém zkoumá procesy, které se snaží získat přístup k úložištím citlivých dat, a měří jejich záměr. Pak balíček zablokuje jakoukoli škodlivou aktivitu tím, že zabije procesy a pozastaví ohrožené uživatelské účty.
DataSecurity Plus je místní softwarový balíček, který se instaluje na Windows Server . Je k dispozici pro 30denní bezplatná zkušební verze .
3. BitDefender GravityZone
BitDefender GravityZone je balíček systémů kybernetické obrany, které velmi dobře fungují v kombinaci k ochraně proti WastedLocker a Hades. Nejdůležitější obrana je její zvládnutá záloha servis.
Nářadí GravityZone skenování malwaru v několika bodech systému. Kontroluje koncové body a všechny soubory stažené do nich. Systém také hlídá přístup k úložišti záloh a skenuje každý soubor, než jej povolí dál. To zahrnuje i ručně zadávané převody.
Balíček GravityZone má a skener zranitelnosti a a správce patchů snížit vaši útočnou plochu. Jako poslední možnost je tam také monitor integrity souborů. GravityZone implementuje automatické reakce. Dokáže izolovat zařízení, jakmile zaznamená podezřelou aktivitu. To omezí potenciální poškození, které by WastedLocker a Hades mohly způsobit.
BitDefender GravityZone je softwarový balík, který běží jako virtuální zařízení. Je k dispozici pro měsíční zkušební verze zdarma .