Ryuk yang nakal: Memerangi ransomware yang diilhamkan oleh ‘Death Note’

Masih ada unsur crypto “Wild West” pada tahun 2023, kerana cryptocurrency dicuri melalui serangan hacks dan ransomware masih diuangkan di bursa utama di seluruh dunia. Serangan Ransomware terbukti menjadi lembu tunai yang menguntungkan bagi penjenayah siber sejak beberapa tahun kebelakangan ini, dengan Biro Penyiasatan Persekutuan Amerika Syarikat menganggarkan bahawa Bitcoin bernilai lebih $ 144 juta dicuri antara Oktober 2013 dan November 2023.

Satu sidang media yang diadakan oleh FBI pada bulan Februari mendedahkan sejumlah besar pembayaran tebusan kepada penyerang oleh mangsa yang terdesak untuk mendapatkan kembali akses ke sistem dan data mereka yang dijangkiti. Cukup menarik, penyerang menerima sebahagian besar wang tebusan dalam Bitcoin (BTC). Baru-baru ini, para penyelidik mengambil sampel 63 transaksi berkaitan ransomware, merangkumi sekitar $ 5.7 juta dana yang dicuri, dan mendapati Bitcoin bernilai lebih $ 1 juta telah ditunaikan di Binance berikutan rentetan transaksi di pelbagai alamat dompet.

Terdapat sejumlah variasi ransomware terkenal yang digunakan oleh penggodam dan kumpulan jenayah siber yang berbeza. Firma keselamatan siber Kaspersky diketengahkan peningkatan dalam jenis serangan ini yang menyasarkan organisasi yang lebih besar pada bulan Julai, yang menggariskan dua ancaman malware tertentu: VHD dan Hakuna MATA.

Ancaman tertentu ini kelihatan pucat dibandingkan dengan jumlah cryptocurrency yang dicuri melalui penggunaan ancaman malware yang lebih besar seperti Ryuk ransomware. Oleh itu, inilah sebabnya Ryuk menjadi kaedah serangan yang disukai dan apa yang boleh dilakukan untuk mencegah dan mencegah penyerang daripada mengaut keuntungan mereka yang tidak wajar di platform pertukaran utama.

Trojan di gerbang kota: Ryuk

Vektor serangan baru ini yang disebut dalam laporan Kaspersky pada bulan Julai belum memperoleh reputasi yang sama dengan ransomware Ryuk. Menjelang akhir tahun 2023, Kaspersky mengeluarkan yang lain lapor yang menyoroti nasib bandar dan bandar yang menjadi mangsa serangan ransomware. Ryuk dikenal pasti oleh firma itu sebagai alat serangan yang disukai terhadap organisasi yang lebih besar, dengan sistem pemerintah dan perbandaran menjadi sasaran utama pada tahun 2023.

Ryuk pertama kali muncul pada separuh kedua tahun 2023 dan membawa kekacauan ketika merebak melalui rangkaian komputer dan sistem di seluruh dunia. Dinamakan sempena watak popular Ryuk dari siri manga Death Note, perisian hasad itu adalah bijak menggunakan “Raja Kematian,” yang menghiburkan dirinya dengan menyampaikan “nota kematian” ke alam manusia yang memungkinkan pencari nota itu membunuh siapa saja dengan hanya mengetahui nama dan penampilan mereka.

Malware biasanya dihantar dalam pendekatan dua fasa yang membolehkan penyerang memeriksa rangkaian terlebih dahulu. Ini biasanya bermula dengan sebilangan besar mesin yang menerima e-mel yang mengandungi dokumen yang mungkin dimuat turun oleh pengguna. Lampiran mengandungi bot malware Emotet Trojan yang akan diaktifkan jika fail dimuat turun.

Tahap kedua serangan itu menyaksikan bot Emotet berkomunikasi dengan pelayannya untuk memasang perisian hasad lain yang dikenali sebagai Trickbot. Ini adalah perisian yang membolehkan penyerang melakukan penyelidikan rangkaian.

Sekiranya penyerang memukul periuk madu peribahasa – iaitu, rangkaian perniagaan besar, pejabat pemerintah atau perbandaran – Ryuk ransomware itu sendiri akan digunakan di pelbagai rangkaian yang berlainan. Ini adalah vektor yang benar-benar menyulitkan fail sistem dan menyimpan data tersebut untuk tebusan. Ryuk menyulitkan fail tempatan pada komputer individu dan fail yang dikongsi di seluruh rangkaian.

Selanjutnya, Kaspersky menjelaskan bahawa Ryuk juga memiliki kemampuan untuk memaksa komputer lain di rangkaian untuk dihidupkan jika mereka dalam mod tidur, yang menyebarkan perisian hasad di sebilangan besar nod. Fail yang terdapat di komputer di rangkaian yang sedang tidur biasanya tidak dapat diakses, tetapi jika perisian hasad Ryuk dapat membangunkan komputer tersebut, ia juga akan menyulitkan fail pada mesin tersebut..

Terdapat dua sebab utama mengapa penggodam ingin menyerang rangkaian komputer kerajaan atau bandar: Pertama, banyak sistem ini dilindungi oleh insurans, yang menjadikan kemungkinan penyelesaian kewangan dapat dicapai. Kedua, rangkaian yang lebih besar ini secara intrinsik terikat bersama dengan rangkaian besar yang lain, yang boleh menyebabkan kesan melumpuhkan yang jauh. Sistem dan data yang memberi kuasa kepada jabatan yang berbeza dapat dipengaruhi, yang memerlukan penyelesaian cepat, lebih sering daripada tidak mengakibatkan pembayaran kepada penyerang.

Memerangi mengeluarkan wang di bursa utama

Matlamat akhir serangan ransomware ini cukup mudah: untuk menuntut pembayaran yang besar, biasanya dibuat menggunakan cryptocurrency. Bitcoin telah menjadi pilihan pembayaran yang disukai untuk penyerang. Penggunaan cryptocurrency yang unggul sebagai kaedah pembayaran pilihan mempunyai akibat yang tidak diingini oleh penyerang, kerana ketelusan blockchain Bitcoin bermaksud bahawa transaksi ini dapat dijejaki pada peringkat mikro dan makro.

Berkaitan: Serangan Ransomware Menuntut Crypto Malangnya Di Sini untuk Tinggal

Itulah yang telah dilakukan oleh penyelidik, dan dengan melihat titik akhir transaksi ini, penganalisis dapat melihat penyerang memanfaatkan beberapa pertukaran cryptocurrency terbesar. Pada akhir bulan Ogos, telah dinyatakan bahawa wang tebusan bernilai lebih dari $ 1 juta telah dilunaskan melalui Binance.

Pasukan keselamatan Binance mendedahkan kepada Cointelegraph bahawa urus niaga ini berusia lebih dari 18 bulan dan bahawa pertukaran telah secara aktif memantau akaun yang berkaitan. Pasukan itu juga menekankan penggunaan pertukarannya oleh penyerang sebagai produk sampingan dari jumlah cryptocurrency yang diperdagangkan di platform, yang memberi peluang kepada pelaku haram untuk bergabung dengan orang ramai. Jurucakap itu menambah:

“Ini semakin rumit oleh fakta bahawa Binance memiliki banyak pelanggan yang beroperasi di platformnya, dengan beberapa pelanggan menerima dana tersebut melalui perdagangan peer-to-peer yang sederhana, dan yang lain menerima melalui perkhidmatan korporat yang memanfaatkan platform kami untuk kecairan.”

Cointelegraph menghubungi firma keselamatan siber yang berpusat di Israel Cymulate untuk mengetahui pertukaran yang dapat dilakukan untuk mencegah penjenayah siber dengan lebih baik menggunakan platform mereka untuk membubarkan cryptocurrency yang dicuri. Avihai Ben-Yossef, pengasas bersama dan ketua pegawai teknologi, berpendapat bahawa syarikat yang memberikan perlindungan antivirus dan pengesanan dan tindak balas titik akhir mempunyai peranan penting dalam mengesan kripto tebusan, memandangkan mereka mengetahui jumlah pembayaran dan dompet masing-masing alamat yang menerima wang tebusan. Dia menambah bahawa dari sana, pertukaran dapat mengesan dan menelusuri pembayaran ini:

“Penganalisis dapat mengumpulkan nombor dompet dan memeriksa berapa banyak wang di setiap dompet dan kemudian membuat sejumlah semua dompet yang dijumpai. Penting untuk diperhatikan bahawa akan selalu ada yang lebih banyak dan anda perlu dapat mengesan masing-masing dari muatan Ryuk yang dibuat. “

Tidak syak lagi bahawa ini boleh menjadi proses yang memakan masa. Walaupun begitu, penggunaan alamat dompet oleh penyerang untuk menerima dana tebusan memungkinkan pasukan keselamatan mengawasi pergerakan dana tersebut.

Secara keseluruhan, tahun 2023 telah menjadi tahun yang menguntungkan bagi penjenayah siber yang telah menggunakan serangan ransomware, yang terus berkembang. Ben-Yossef mengingatkan organisasi dan syarikat untuk memastikan mereka mempunyai keselamatan siber terbaik untuk memerangi persekitaran jenayah siber yang sentiasa berubah:

“Serangan perisian ransom pada umumnya semakin canggih. Ini termasuk pergerakan lateral, penyingkiran data dan banyak lagi kaedah yang memberi kesan serius kepada syarikat yang tidak akan membayar wang tebusan. Terdapat pengganti baru RYUK, Conti, yang ditulis sedikit berbeza dan kemungkinan besar dikembangkan oleh penggodam lain. Menjadi penting bagi organisasi untuk mengadaptasi alat ujian keselamatan seperti simulasi pelanggaran dan serangan untuk memastikan kawalan keselamatan mereka berfungsi untuk keberkesanan optimum mereka terhadap ancaman yang muncul. “