Išdykęs Ryukas: kova su „Death Note“ įkvėpta išpirkos programa

2023 m. Vis dar yra kriptografijos „Laukiniai vakarai“ elementas, nes kriptovaliuta, pavogta per įsilaužimus ir išpirkos išpirkos programas, vis dar gryninama pagrindinėse biržose visame pasaulyje. Per pastaruosius kelerius metus kenkėjiškos atakos pasirodė esančios pelninga grynųjų karvė kibernetiniams nusikaltėliams, o JAV federalinis tyrimų biuras apskaičiavo, kad nuo 2013 m. Spalio iki 2023 m. Lapkričio mėn. Pavogta daugiau nei 144 mln..

FTB vasario mėnesį surengtoje spaudos konferencijoje paaiškėjo didžiulė suma, kurią už užpuolikus išmokėjo aukos, kurios labai norėjo atgauti prieigą prie savo užkrėstų sistemų ir duomenų. Įdomu tai, kad užpuolikai daugiausia išpirkų gavo Bitcoin (BTC). Visai neseniai tyrėjai paėmė 63 su išpirkos programine įranga susijusių operacijų, apimančių maždaug 5,7 mln. USD pavogtų lėšų, pavyzdį ir nustatė, kad „Binance“ buvo išpirkta daugiau nei 1 mln. USD vertės „Bitcoin“, atlikus virtinę operacijų įvairiais piniginės adresais..

Yra daugybė žinomų išpirkos programų variantų, kuriuos naudoja skirtingi įsilaužėliai ir elektroninės nusikalstamos grupės. Kibernetinio saugumo firma „Kaspersky“ paryškintas šių tipų atakų, nukreiptų į didesnes organizacijas, augimas liepos mėnesį, nurodant dvi konkrečias grėsmes kenkėjiškoms programoms: VHD ir Hakuna MATA.

Šios konkrečios grėsmės atrodo blyškios, palyginti su kriptovaliutos pavogtu kiekiu naudojant didesnes kenkėjiškas grėsmes, tokias kaip „Ryuk“ išpirkos programa. Taigi, štai kodėl „Ryuk“ buvo pirmenybė teikiamas atakos metodas ir ką galima padaryti, kad užpuolikai užkerta kelią atgrasyti savo neteisėtai įgytą pelną didelėse mainų platformose ir atgrasyti nuo jų.

Trojos arklys prie miesto vartų: Ryukas

Šie naujesni atakos vektoriai, paminėti Kaspersky liepos mėnesio ataskaitoje, ne visai įgijo tokią pačią reputaciją kaip ir „Ryuk“ išpirkos programa. 2023 m. Pabaigoje „Kaspersky“ išleido dar vieną ataskaita tai pabrėžė savivaldybių ir miestų, kurie tapo išpirkos išpirkos aukomis, bėdą. Ryuką įmonė nustatė kaip palankią atakų prieš didesnes organizacijas priemonę, o vyriausybinės ir savivaldybių sistemos buvo pagrindiniai tikslai 2023 m..

„Ryuk“ pirmą kartą pasirodė 2023 m. Antroje pusėje ir sukėlė sumaištį, kai jis išplito per kompiuterinius tinklus ir sistemas visame pasaulyje. Pavadinta populiaraus personažo Ryuko iš mangų serijos „Death Note“ vardu, kenkėjiška programa yra protingas „Mirties karaliaus“ paėmimas, kuris linksminasi pateikdamas „mirties raštą“ žmogaus sferai, leidžiančią užrašo ieškotojui bet ką nužudyti paprasčiausiai žinant jų vardą ir išvaizdą.

Kenkėjiška programa paprastai teikiama dviem etapais, leidžianti užpuolikams pirmiausia ištirti tinklą. Paprastai tai prasideda tuo, kad daugybė mašinų gauna el. Laiškus su dokumentu, kurį vartotojai gali netyčia atsisiųsti. Priede yra kenkėjiškų programų „Emotet Trojan“ robotas, kuris įsijungia atsisiųsdamas failą.

Antrame atakos etape „Emotet“ botas bendrauja su savo serveriais, kad įdiegtų dar vieną kenkėjišką programą, vadinamą „Trickbot“. Tai yra programinė įranga, leidžianti užpuolikams atlikti tinklo tyrimą.

Jei užpuolikai pataikys į patarlinį medaus puodą, t. Y. Į stambaus verslo, vyriausybinės ar savivaldybės įstaigos tinklą, pati „Ryuk“ išpirkos programa bus dislokuota skirtinguose tinklo mazguose. Tai vektorius, kuris iš tikrųjų užšifruoja sistemos failus ir laiko tuos duomenis išpirkai. „Ryuk“ šifruoja vietinius failus atskiruose kompiuteriuose ir failus, bendrinamus visame tinkle.

Be to, „Kaspersky“ paaiškino, kad „Ryuk“ taip pat gali priversti kitus tinklo kompiuterius įsijungti, jei jie yra miego režime, o tai kenkėjišką programą platina didesniu mazgų skaičiumi. Failai, esantys tinklo kompiuteriuose, kurie miega, paprastai negali būti prieinami, tačiau jei „Ryuk“ kenkėjiška programa gali pažadinti tuos kompiuterius, ji šifruos ir tų mašinų failus..

Yra dvi pagrindinės priežastys, dėl kurių įsilaužėliai siekia užpulti vyriausybinius ar savivaldybių kompiuterinius tinklus: Pirma, daugelį šių sistemų saugo draudimas, todėl kur kas labiau tikėtina, kad bus galima susitarti dėl pinigų. Antra, šie didesni tinklai yra iš esmės susieti su kitais dideliais tinklais, o tai gali sukelti toli siekiantį, suluošinantį efektą. Tai gali turėti įtakos sistemoms ir duomenims, kurie maitina visiškai skirtingus padalinius, o tai reikalauja greito sprendimo, dažniausiai už tai nesumokėjus užpuolikams..

Kova su pinigų grąžinimu pagrindinėse biržose

Galutinis šių išpirkos išpuolių tikslas yra gana paprastas: reikalauti didelio mokėjimo, paprastai atliekamo naudojant kriptovaliutas. Užpuolikams palankiausia mokėjimo parinktis buvo „Bitcoin“. Išskirtinės kriptovaliutos, kaip pageidaujamo mokėjimo metodo, naudojimas užpuolikams turi nenumatytų pasekmių, nes „Bitcoin“ blokų grandinės skaidrumas reiškia, kad šias operacijas galima stebėti tiek mikro, tiek makro lygiu..

Susijęs: Deja, yra reikalingų kripto atakų, susijusių su išpirkomis

Tyrėjai tai padarė būtent taip, ir, žvelgdami į šių operacijų galinę padėtį, analitikai gali pamatyti užpuolikus, kurie naudojasi kai kuriais didžiausiais kriptovaliutų mainais. Rugpjūčio pabaigoje paaiškėjo, kad per „Binance“ buvo išpirkta daugiau nei 1 mln. USD išpirkto „Bitcoin“..

„Binance“ apsaugos komanda „Cointelegraph“ atskleidė, kad šios operacijos buvo senesnės nei 18 mėnesių ir kad mainai aktyviai stebi atitinkamas sąskaitas. Komanda taip pat pabrėžė, kad užpuolikai naudojosi savo mainais, nes tai buvo didžiulis kriptovaliutos, kuria prekiaujama platformoje, apimtis, o tai neteisėtiems veikėjams suteikia daugiau galimybių įsilieti į minią. Atstovas spaudai pridūrė:

„Tai dar labiau apsunkina tai, kad„ Binance “platformoje dirba daugybė klientų, kai kurie klientai gauna tokias lėšas paprastais tarpusavio sandoriais, o kiti gauna naudodamiesi korporacinėmis paslaugomis, kurios skatina mūsų likvidumą.“

„Cointelegraph“ kreipėsi į Izraelyje įsikūrusią kibernetinio saugumo firmą „Cymulate“, norėdama sužinoti, ką mainai gali padaryti, kad kibernetiniai nusikaltėliai galėtų geriau panaudoti savo platformas pavogtai kriptovaliutai likviduoti. Bendrovės įkūrėjas ir vyriausiasis technologijų pareigūnas Avihai Benas Yossefas teigia, kad antivirusinę apsaugą ir galinių taškų aptikimą bei reagavimą užtikrinančios įmonės turi atlikti svarbų vaidmenį sekant išpirktą šifravimą, turint omenyje, kad jos žino išmokėtas sumas ir atitinkamą piniginę. adresai, gaunantys išpirktas lėšas. Jis pridūrė, kad mainai gali sekti ir atsekti šiuos mokėjimus:

„Analitikai gali surinkti piniginės numerius ir patikrinti, kiek pinigų yra kiekvienoje piniginėje, ir tada sukurti visų rastų piniginių sumą. Svarbu pažymėti, kad jų visada bus daugiau ir kad jūs turite sugebėti sekti kiekvieną iš sukurtų „Ryuk“ krovinių “.

Neabejotina, kad tai gali būti daug laiko reikalaujantis procesas. Nepaisant to, užpuolikai naudodamiesi piniginės adresais, norėdami gauti išpirktas lėšas, saugumo komandoms leidžia stebėti šių lėšų judėjimą..

Apskritai 2023 m. Kibernetiniams nusikaltėliams, kurie pasinaudojo išpirkos išpuolių programomis, kurios buvo nuolat plėtojamos, buvo pelningi metai. Benas Yossefas įspėjo organizacijas ir įmones užtikrinti geriausią kibernetinį saugumą kovojant su nuolat kintančia elektroninių nusikaltimų aplinka:

„Apsaugos nuo kenkėjiškų programų atakos apskritai tampa vis sudėtingesnės. Jie apima šoninį judėjimą, duomenų pašalinimą ir daugelį kitų metodų, kurie turi rimtų pasekmių įmonėms, kurios nemokės išpirkos. Yra naujas RYUK įpėdinis „Conti“, kuris parašytas kiek kitaip ir greičiausiai sukurtas kitų įsilaužėlių. Organizacijoms tampa labai svarbu pritaikyti saugumo testavimo įrankius, tokius kaip pažeidimų ir atakų modeliavimas, kad užtikrintų, jog jų saugumo kontrolė veikia kuo efektyviau nuo kylančių grėsmių “.