Какво представлява рансъмуерът WastedLocker и как да се защитим от него?
Като повечето ransomware,WastedLocker атакува работещи компютри Windows . WastedLocker обаче е голям ловец на дивеч
Атакува големи корпорации и иска огромни откупи. Докато много атаки на ransomware изискват няколкостотин долара, WastedLocker изисква милиони долари .
Хакерската група зад WastedLocker е много добре организирана. От първите години на този век екипът работи и е спечелил повече от 100 милиона долара.
Кой стои зад рансъмуера WastedLocker?
WastedLocker е продукт на Evil Corp , който е известен още като Индрик Спайдър . Това е руска хакерска група, която постигна първия си успех с Зевс , банков троянски кон. Най-известният продукт от тази група беше Дридекс , банков троянски кон, който спечели много пари. Dridex беше активен от 2011 до 2020 г. и беше разработен като подобрение на Zeus.
Групата Evil Corp се ръководи от Максим Якубец и Igor Turashev . През декември 2019 г. Службата за контрол на чуждестранните активи (OFAC) на Министерството на финансите на САЩ издаде заповед за арест на двойката. В допълнение, тя предложи награда от 5 милиона долара за информация, водеща до ареста им. Но, за съжаление, те все още не са арестувани.
Основната причина за интереса на американските власти към Evil Corp е Dridex, а не Рансъмуер WastedLocker . Сериозното внимание на американските агенции за сигурност обаче принуди Evil Corp да преоцени всичките си дейности и групата замълча временно до началото на 2020 г.
Източникът на ransomware WastedLocker
Evil Corp за първи път разработи рансъмуер през 2017 г. с bitpaymer криптиране . Това беше „ ловец на едър дивеч ”, което означава, че е насочено към големи корпорации и е искало големи откупи. Bitpaymer беше предшественикът на рансъмуера WastedLocker.
Bitpaymer стартира през 2017 г., насочена към болници в Обединеното Кралство. След това атаките се насочиха към голямото американски корпорации . Механизмът за доставка на ransomware се основава на модули Dridex.
През 2019 г. Evil Corp създаде вариант на Bitpaymer, наречен DoppelPaymer , а Ransomware-като-услуга система. RaaS позволява на други хакери да използват система за рансъмуер срещу заплащане, без да им позволява достъп до кода.
През май 2020 г. групата стартира WastedLocker като заместител на Bitpaymer. Новият ransomware споделя някои процедурни сходства с Bitpaymer, но има напълно различен код.
Атаките на WastedLocker са високо скроени . Групата не само провежда задълбочени изследвания, за да получи достъп до мрежа, но произвежда различни модули за всяка атака и насочена бележка за откуп. Групата също е в състояние да коригира атака, когато се случи. В някои случаи мрежовите мениджъри са успели да забележат и премахнат капкомера WastedLocker, карайки групата да пусне ръчно по-скрит заместител.
Началото на атака на WastedLocker
По-голямата част от целите на рансъмуера WastedLocker са големи американски корпорации. Жертвата вижда изскачащ прозорец когато посещават конкретни сайтове, които ги съветват да актуализират своя браузър. Изскачащият прозорец, когато бъде натиснат, изтегля zip файл, който съдържа JavaScript модул, наречен SocGolish .
Уебсайтовете, на които се появяват изскачащи прозорци, не са собственост на Evil Corp. По-скоро те са собственост и се управляват от законни организации и групата Evil Corp е успяла да ги зарази. Новинарски уебсайтове са редовно насочени към тази инфекция.
Модулът инсталира и изпълнява PowerShell скриптове и Кобалтов удар задна врата. Това дава достъп на хакерите и те ще използват както ръчни, така и автоматизирани методи, за да продължат с атаката.
Какво се случва при атака на рансъмуер WastedLocker?
Началната точка на хакера е крайна точка на системата, която е инсталирала задната врата на Cobalt Strike. Използвайки опит и набор от инструменти за услуги за системно сканиране, хакерът изгражда профил на потребителски акаунти на крайната точка и връзки до други крайни точки в мрежата. Хакерът също ще разследва архивиране обработва и пуска файлове, за да бъдат качени на сървъра за архивиране, за да задействат инфекция с ransomware.
В този момент дейността е по-скоро по линия на an напреднала постоянна заплаха отколкото ransomware атака. Инструментите включват системи за улавяне на идентификационни данни и достъп до акаунта на потребителя на осъществения достъп устройство чрез a отдалечен достъп система, която позволява на хакера да придобие самоличността на потребителя и да комуникира с другите в организацията.
Фазата на разузнаване на атаката позволява на хакера да се движи из мрежата, за да локализира основните хранилища на файлове и сървъри на бази данни, които ще станат мишени на инфекцията. След като лидерът на екипа е доволен, това е достатъчно цели с висока стойност са придобити, рансъмуерът WastedLocker е активиран.
WastedLocker криптиране
Рансъмуерът изпълнява няколко задачи, преди да започне криптиране. Изтрива всички сенчести копия на работни документи, които се генерират от функции за автоматично запазване. Той също така ще деактивира Windows Defender, ще повиши достъпа до акаунта си до администратор и ще инсталира процеса на криптиране като услуга.
Системата генерира различен ключ за криптиране за всеки файл. Това е AES шифър с 256-битов ключ. След това тези ключове се изброяват във файл, който е криптиран с 4096-битов код RSA шифър. Това е публичен ключ , който криптира файловете. RSA използва различен ключ за дешифриране. Това не може да бъде извлечено от ключа за шифроване. Следователно познаването на публичния ключ не е полезно за жертвата. Въпреки това, той може да се използва като референтен код за процеса на дешифриране. Двойките RSA ключове изглежда се генерират извън сайта и публичният ключ се изпраща до целевата система, докато частният ключ се съхранява на сървъра на Evil Corp за доставка след плащане.
WastedLocker не шифрова системни файлове или изпълними файлове, така че компютърът е все още действащ . Той обаче ще шифрова работни файлове, като документи, електронни таблици, изображения, видео и аудио файлове. Той също така криптира файлове за съхранение на бази данни. Вместо просто да работи с компютър по азбучен ред или да започне с първия контактуван компютър, WastedLocker идентифицира най-критичното хранилище на данни и започва с това, което изглежда е негово най-висока стойност указател.
Всеки файл се презаписва със своята криптирана версия. След това към името на файла се добавя допълнително разширение. Това е името на целевата компания и пропилян , например, файл, наречен разходи.docx на компютър в компания, наречена NewWorks, Inc., ще завърши с името разходи.docx.newworkswasted. Процесът на криптиране също генерира бележка за откуп за всеки шифрован файл. Текстът на бележката е един и същ във всички случаи, така че трябва да отворите само една от тях. Това е текстов файл и има същото име като шифрования файл, но с _info. Така че, в случая на примера, свързаната бележка за откуп ще бъде разходи.docx.newworkswasted_info.
Бележката за откуп има следния формат:
ВАШАТА МРЕЖА Е КРИПТИРАНА СЕГА
ИЗПОЛЗВАНЕ
НЕ ДАВАЙТЕ ТОЗИ ИМЕЙЛ НА ТРЕТИ СТРАНИ
НЕ ПРЕИМЕНУВАЙТЕ И НЕ ПРЕМЕСТВАЙТЕ ФАЙЛА
ФАЙЛЪТ Е КРИПТИРАН СЪС СЛЕДНИЯ КЛЮЧ:
[начален_ключ]
ЗАПАЗИ ГО
Имейл адресите, използвани за контакт, се използват само за една атака. Те винаги са в следните домейни:
- PROTONMAIL.CH
- ВЪЗДУШНА ПОЩА.CC
- ECLIPSO.CH
- TUTANOTA.COM
- PROTONMAIL.COM
След като атаката криптира всички целеви файлове в системата на жертвата, които могат да бъдат достигнати, процесът на ransomware приключва. Не продължава с други стратегии за атака, като изтриване на файлове или заразяване на процеса на зареждане. Всички нови файлове, създадени след атаката, няма да бъдат криптирани.
Възстановяване от атака на WastedLocker
Има няма начин за декриптиране на файлове, които са били криптирани по време на атака на рансъмуер WastedLocker, без да плащате откупа. AES криптирането, което преобразува файловете, е неразбиваемо, както и RSA криптирането, което защитава списъка с AES ключове. Няма консултанти по киберсигурност, които да предлагат услуга за дешифриране.
Най-добрият начин да се възстановите от атака, без да плащате, е да се уверите, че имате резервни копия на всички критични файлове и че вашият процес на архивиране и магазини са много добре защитени. Тъй като групата Evil Corp използва ръчно проучване и ще се движи из системата толкова дълго, колкото е необходимо, за да получи всички основни хранилища за данни, тези резервни местоположения обикновено също се криптират.
Исканията за откуп от WastedLocker варират между $500 000 и $10 милиона. Най-известната атака досега беше срещу американската технологична фирма Garner през октомври 2020 г. От компанията бяха поискани 10 милиона долара. Никой не знае дали компанията е платила цялата сума. Те обаче платиха, защото получиха ключа за дешифриране. Така че изглежда, че групата Evil Corp е готова да преговарям .
Защита срещу рансъмуер WastedLocker
Добрата новина е, че WastedLocker е вече не е активен . Въпреки това неговият наследник, т.нар Хадес, е в обращение. Това е много близко до WastedLocker, но има някои допълнителни функции за затъмняване, които трябва да се разглеждат WastedLocker II .
Най-добрата защита се крие в интелигентната киберсигурност, податлива и чувствителна данни , който има допълнителни разпоредби относно използването и защитата му. Ето три пакета за киберсигурност, които осигуряват компетентна защита срещу ransomware WastedLocker.
1. CrowdStrike Falcon Insight (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ)
CrowdStrike Falcon Insight е пакет за откриване и реакция на крайна точка (EDR). Той включва координиращ модул за създаване на защита за цялото предприятие. Агентът за крайна точка се инсталира на Windows, macOS и Linux, а надзорникът е услуга, базирана на облак.
Комбинацията от защита на устройството и мониторинг на системата е отлична защита срещу рансъмуер системи като WastedLocker и Hades. Модулите на място използват откриване на аномалия , което му позволява да забележи съвсем нов злонамерен софтуер или привидно истински дейности, извършвани от легитимни потребителски акаунти. EDR ще изолира устройства, ако забележи подозрителна дейност. Може също така да изтрива файлове със зловреден софтуер и да убива процеси. Системата за защита на крайната точка е напълно автономна и може да бъде закупена отделно. Предлага се на пазара като CrowdStrike Falcon Prevent .
Базираният в облак модул е a ловец на заплахи който разчита на качване на регистрационни файлове за активност от агентите на крайната точка. Това става емисии за разузнаване на заплахи от CrowdStrike, които актуализират своите стратегии за търсене на данни. Координаторът ще информира всички крайни точки за открити заплахи, независимо дали са идентифицирани в данните или са уведомени от крайна точка.
Можете да получите a15-дневен безплатен пробен периодна Falcon Prevent.
Falcon Prevent Стартирайте 15-дневен БЕЗПЛАТЕН пробен период
две. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus е протектор за чувствителни данни, предназначен за фирми, които трябва да спазват HIPAA, PCI DSS и други стандарти за поверителност на данните .
Системата включва модул за eDiscovery, който идентифицира хранилищата на чувствителни данни и категоризира типовете данни, съхранявани там. Това ви позволява да увеличите мерките за сигурност за тези местоположения. В допълнение, защитната система на DataSecurity Plus е внедрена като a монитор за целостта на файла (FIM). Това незабавно ще забележи действията за криптиране и ще ги блокира.
Системата изследва процесите, които се опитват да получат достъп до хранилища с чувствителни данни и измерва тяхното намерение. След това пакетът ще блокира всякаква злонамерена дейност чрез спиране на процеси и спиране на компрометирани потребителски акаунти.
DataSecurity Plus е локален софтуерен пакет, който се инсталира на Windows сървър . Предлага се за 30-дневен безплатен пробен период .
3. BitDefender GravityZone
BitDefender GravityZone е пакет от системи за киберзащита, които работят много добре в комбинация за защита срещу WastedLocker и Hades. Най-важната защита е нейното управление архивиране обслужване.
GravityZone приспособления сканиране за зловреден софтуер в няколко точки на системата. Той сканира крайните точки и всички файлове, изтеглени върху тях. Системата също така защитава достъпа до хранилището за архивиране, като сканира всеки файл, преди да го пусне. Това включва дори ръчно командвани трансфери.
Пакетът GravityZone има a скенер за уязвимости и а мениджър на корекции за да намалите повърхността си за атака. Има и монитор за целостта на файловете като последна възможност. GravityZone прилага автоматизирани отговори. Може да изолира устройство веднага щом забележи подозрителна дейност. Това ще ограничи потенциалните щети, които WastedLocker и Hades могат да причинят.
BitDefender GravityZone е софтуерен пакет, който работи като виртуално устройство. Предлага се за едномесечен безплатен пробен период .