Zephyrnet-logo

Generatieve data-intelligentie

Cyber ​​Security

Geïnteresseerd in $ 10,000,000? Klaar om de bemanning van de Clop-ransomware in te leveren?

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 82
by Naked Security-schrijver

De nieuwste spraakmakende exploits van cybercriminaliteit toegeschreven aan de Clop ransomware-crew zijn niet je traditionele soort ransomware-aanvallen (als 'traditioneel' het juiste woord is voor een afpersingsmechanisme dat pas teruggaat tot 1989).

Bij conventionele ransomware-aanvallen worden uw bestanden gecodeerd, raakt uw bedrijf volledig ontspoord en verschijnt er een bericht dat er een decoderingssleutel voor uw gegevens beschikbaar is...

... voor wat typisch een oogstrelend bedrag is.

Criminele evolutie

Zoals je je kunt voorstellen, gegeven dat ransomware gaat terug tot de dagen voordat iedereen internettoegang had (en toen degenen die online waren gegevensoverdrachtsnelheden hadden die niet in gigabits of zelfs megabits per seconde werden gemeten, maar vaak alleen in kilobits), was het idee om je bestanden te versleutelen waar ze lagen een lafhartige truc om tijd besparen.

De criminelen kregen uiteindelijk volledige controle over uw gegevens, zonder eerst alles te hoeven uploaden en vervolgens de originele bestanden op schijf te overschrijven.

Beter nog voor de boeven, ze konden achter honderden, duizenden of zelfs miljoenen computers tegelijk aan gaan, en ze hoefden niet al uw gegevens te bewaren in de hoop deze aan u "terug te verkopen". (Voordat opslag in de cloud een consumentendienst werd, was schijfruimte voor back-ups duur en kon niet gemakkelijk in een oogwenk op aanvraag worden verkregen.)

Slachtoffers van ransomware die bestanden versleutelt, gedragen zich ironisch genoeg als onwillige gevangenisbewakers van hun eigen gegevens.

Hun bestanden worden verleidelijk binnen handbereik gelaten, vaak met hun originele bestandsnaam (zij het met een extra extensie zoals .locked aan het uiteinde toegevoegd om zout in de wond te wrijven), maar volkomen onbegrijpelijk voor de apps die ze gewoonlijk zouden openen.

Maar in de huidige cloud computing-wereld zijn cyberaanvallen waarbij ransomware-boeven kopieën maken van alle, of in ieder geval veel, van uw vitale bestanden niet alleen technisch mogelijk, ze zijn ook alledaags.

Voor alle duidelijkheid: in veel, zo niet de meeste gevallen, versleutelen de aanvallers ook uw lokale bestanden, omdat ze dat kunnen.

Het door elkaar halen van bestanden op duizenden computers tegelijk gaat immers over het algemeen veel sneller dan ze allemaal naar de cloud te uploaden.

Lokale opslagapparaten bieden doorgaans een gegevensbandbreedte van enkele gigabits per seconde per schijf per computer, terwijl veel bedrijfsnetwerken een internetverbinding hebben van een paar honderd megabits per seconde, of zelfs minder, die door iedereen wordt gedeeld.

Door al uw bestanden op al uw laptops en servers in al uw netwerken te versleutelen, kunnen aanvallers u chanteren op basis van het bankroet van uw bedrijf als u uw back-ups niet op tijd kunt herstellen.

(De ransomware-boeven van tegenwoordig doen er vaak alles aan om zoveel mogelijk van uw back-upgegevens te vernietigen voordat ze aan het versleutelen van bestanden beginnen.)

De eerste laag van chantage zegt: “Betaal en we geven je de decoderingssleutels die je nodig hebt om al je bestanden te reconstrueren waar ze zich op elke computer bevinden, dus zelfs als je trage, gedeeltelijke of geen back-ups hebt, kun je snel weer aan de slag; weiger te betalen en uw bedrijfsvoering blijft staan ​​waar ze is, dood in het water.”

Tegelijkertijd, zelfs als de boeven alleen tijd hebben om enkele van je meest interessante bestanden van enkele van je meest interessante computers te stelen, krijgen ze niettemin een tweede zwaard van Damocles om boven je hoofd te houden.

Die tweede laag van chantage gaat in de trant van, “Betaal en we beloven de gestolen gegevens te verwijderen; weigeren te betalen en we houden het niet alleen vast, we gaan er wild mee.”

De boeven dreigen er meestal mee om uw trofeegegevens door te verkopen aan andere criminelen, om ze door te sturen naar de toezichthouders en de media in uw land, of om ze gewoon openlijk online te publiceren zodat iedereen ze kan downloaden en doorspitten.

Vergeet de codering

Bij sommige cyberafpersingsaanvallen slaan criminelen die uw gegevens al hebben gestolen, het deel van het versleutelen van bestanden over of zijn ze niet in staat om het voor elkaar te krijgen.

In dat geval worden de slachtoffers uiteindelijk alleen gechanteerd om de boeven stil te houden, niet om hun bestanden terug te krijgen om hun bedrijf weer draaiende te krijgen.

Dat lijkt te zijn wat er gebeurde in de recente high-profile MOVEit valt aan, waar de Clop-bende, of hun gelieerde ondernemingen, op de hoogte waren van een exploiteerbare zero-day-kwetsbaarheid in software die bekend staat als MOVEit...

…dat gaat nu eenmaal allemaal over het uploaden, beheren en veilig delen van bedrijfsgegevens, inclusief een component waarmee gebruikers toegang krijgen tot het systeem met niets ingewikkelder dan hun webbrowser.

Helaas bestond het zero-day-gat in de webgebaseerde code van MOVEit, zodat iedereen die webgebaseerde toegang had geactiveerd, onbedoeld zijn bedrijfsbestandsdatabases blootstelde aan op afstand geïnjecteerde SQL-opdrachten.

Blijkbaar wordt nu vermoed dat meer dan 130 bedrijven gegevens hebben gestolen voordat de MOVEit zero-day werd ontdekt en gepatcht.

Veel van de slachtoffers lijken werknemers te zijn van wie de salarisgegevens zijn geschonden en gestolen - niet omdat hun eigen werkgever een MOVEit-klant was, maar omdat de uitbestede salarisverwerker van hun werkgever dat was, en hun gegevens werden gestolen uit de salarisdatabase van die provider.

Bovendien lijkt het erop dat ten minste enkele van de op deze manier gehackte organisaties (hetzij rechtstreeks via hun eigen MOVEit-configuratie, hetzij indirect via een van hun serviceproviders) Amerikaanse overheidsinstanties waren.

Beloning voor het oprapen

Deze combinatie van omstandigheden leidde ertoe dat het US Rewards for Justice (RFJ)-team, onderdeel van het Amerikaanse ministerie van Buitenlandse Zaken (het equivalent van uw land zou de naam Foreign Affairs of Foreign Ministry kunnen heten), iedereen op Twitter als volgt eraan herinnerde:

De RFJ's eigen website zegt, zoals geciteerd in de tweet hierboven:

Rewards for Justice biedt een beloning van maximaal $ 10 miljoen voor informatie die leidt tot de identificatie of locatie van een persoon die, terwijl hij handelt in opdracht of onder controle van een buitenlandse overheid, deelneemt aan kwaadaardige cyberactiviteiten tegen Amerikaanse kritieke infrastructuur die in strijd is met van de Computer Fraud and Abuse Act (CFAA).

Of informanten verschillende veelvouden van $ 10,000,000 kunnen krijgen als ze meerdere daders identificeren, is niet duidelijk, en elke beloning wordt gespecificeerd als "tot" $ 10 miljoen in plaats van elke keer een onverdunde $ 10 miljoen ...

…maar het zal interessant zijn om te zien of iemand besluit om het geld te claimen.

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.