Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Nghi phạm ransomware DoppelPaymer bị bắt ở Đức và Ukraine

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 107
by Người viết về An ninh khỏa thân

Bạn gần như chắc chắn đã nghe nói về gia đình ransomware được gọi là DoppelPaymer, nếu chỉ vì bản thân cái tên này là một lời nhắc nhở về kỹ thuật tống tiền hai nòng được sử dụng bởi nhiều băng nhóm ransomware đương thời.

Để tăng áp lực buộc bạn phải trả tiền, những kẻ được gọi là kẻ tống tiền kép không chỉ tranh giành tất cả các tệp dữ liệu của bạn để doanh nghiệp của bạn ngừng hoạt động mà còn đánh cắp các bản sao của các tệp đó để sử dụng làm đòn bẩy bổ sung.

Ý tưởng là nếu bạn trả tiền cho khóa giải mã để mở khóa các tệp của mình và đưa doanh nghiệp của bạn trở lại hoạt động bình thường, những kẻ tấn công cũng sẽ rất hào phóng đồng ý xóa các tệp mà chúng đã đánh cắp (hoặc họ nói như vậy), thay vì rò rỉ những tệp đó cho phương tiện truyền thông, tiết lộ chúng cho cơ quan quản lý hoặc bán chúng cho tội phạm mạng khác.

Nói một cách thô thiển, những kẻ tống tiền đang mời bạn trả tiền cho chúng vì cả hành động tích cực (giao chìa khóa giải mã) lẫn hành động tiêu cực (không làm rò rỉ dữ liệu bị đánh cắp).

Ngoài ra, khá rõ ràng, những kẻ lừa đảo đang hy vọng rằng ngay cả khi bạn có các bản sao lưu đáng tin cậy và có thể giúp doanh nghiệp của bạn tự hoạt động trở lại mà không phải trả tiền cho các khóa giải mã…

… thì họ vẫn có thể tống tiền bạn để giao nộp số tiền đe dọa của họ, bằng cách hứa sẽ giữ im lặng về việc bạn bị vi phạm dữ liệu.

Thông thường, những kẻ tấn công tống tiền kép đánh cắp các tệp của bạn ở dạng không được mã hóa trước khi cắt xén chúng. Nhưng họ cũng có thể đánh cắp chúng trong hoặc sau quá trình xáo trộn, với điều kiện là họ đã biết các khóa giải mã.

đặt tên và xấu hổ

DoppelPaymer, cùng với nhiều băng đảng mạng khác thuộc loại này, đã điều hành trang web “tên và nỗi xấu hổ” trực tuyến của riêng họ, như đã lưu ý trong một bài báo gần đây. nhấn phát hành từ Europol:

Nhóm tội phạm đứng sau phần mềm tống tiền này đã dựa vào một kế hoạch tống tiền kép, sử dụng một trang web rò rỉ do những kẻ tội phạm tung ra vào đầu năm 2020. Chính quyền Đức đã biết về 37 nạn nhân của nhóm phần mềm tống tiền này, tất cả đều là các công ty. Một trong những vụ tấn công nghiêm trọng nhất đã xảy ra nhằm vào Bệnh viện Đại học ở Düsseldorf. Tại Hoa Kỳ, các nạn nhân đã trả ít nhất €40,000,000 trong khoảng thời gian từ tháng 2019 năm 2021 đến tháng XNUMX năm XNUMX.

Đó là tin xấu.

Tin tốt, nếu bạn có thể gọi nó như vậy, là lý do tại sao Europol đang viết về phần mềm tống tiền DoppelPaymer ngay bây giờ.

Một hoạt động kết hợp liên quan đến cơ quan thực thi pháp luật của Đức, Ukraine và Hoa Kỳ đã vừa có kết quả trong việc thẩm vấn và bắt giữ các nghi phạm ở Đức và Ukraine, đồng thời thu giữ các thiết bị điện tử ở Ukraine để phân tích pháp y.

Europol không công bố bất kỳ hình ảnh nào về thiết bị bị tịch thu trong trường hợp này, nhưng chúng tôi cho rằng máy tính xách tay và điện thoại di động, có lẽ cùng với các phương tiện (ngày nay là các mạng máy tính trực tuyến đa năng hiệu quả), đã bị lấy đi. đi khám.

Máy chủ có thể vẫn đang chạy

Thông cáo báo chí không đề cập đến việc liệu các nhà điều tra có thể thu giữ hoặc tắt bất kỳ máy chủ nào được kết nối với nhóm ransomware này hay không.

Ngày nay, cho dù chúng được vận hành bởi các doanh nghiệp hợp pháp hay tội phạm, các máy chủ có xu hướng chạy ở đâu đó trên đám mây, nghĩa đen là “trên máy tính của người khác”, điều này hầu như luôn có nghĩa là “ở một nơi khác, thậm chí có thể ở một quốc gia khác”.

Thật không may, với việc sử dụng cẩn thận các công cụ ẩn danh web đen và hoạt động bảo mật thận trọng, bọn tội phạm có thể che khuất vị trí thực của các máy chủ mà chúng đang sử dụng.

Những máy chủ đó có thể bao gồm các trang web nơi họ xuất bản dữ liệu đáng xấu hổ, cơ sở dữ liệu nơi họ ghi lại các khóa giải mã của các nạn nhân hiện tại và liệu họ có trả tiền hay không hoặc các máy chủ “mạng lưới kinh doanh” nơi họ đăng ký các chi nhánh để giúp đỡ họ. gắn kết các cuộc tấn công của họ.

Vì vậy, ngay cả khi cảnh sát bắt giữ một số, nhiều hoặc tất cả các thành viên của băng nhóm ransomware, điều đó không phải lúc nào cũng ngăn chặn các hoạt động của ransomware, bởi vì cơ sở hạ tầng của chúng vẫn còn và vẫn có thể được sử dụng bởi các thành viên băng nhóm khác hoặc bị các đối thủ tiếp quản để tiếp tục các hoạt động tống tiền.

Tương tự như vậy, nếu cảnh sát quản lý để đánh sập và chiếm giữ các máy chủ quan trọng đối với một băng nhóm ransomware, thì chính tính năng ẩn danh trên web đen khiến cho việc truy tìm chuyển tiếp từ người dùng bị bắt đến máy chủ của họ trở nên khó khăn…

…cũng gây khó khăn cho việc truy ngược từ các máy chủ bị tịch thu để xác định và bắt giữ người dùng.

Tất nhiên, trừ khi những kẻ lừa đảo mắc lỗi kỹ thuật hoặc vận hành, chẳng hạn như thỉnh thoảng tạo kết nối trực tiếp đến máy chủ của chúng do nhầm lẫn thay vì thông qua một dịch vụ ẩn danh như TOR (bộ định tuyến Onion) hoặc dựa vào dịch vụ khác các nhà điều hành trong hiện trường tội phạm mạng không vô tình hoặc cố ý loại bỏ chúng.

TÌM HIỂU THÊM VỀ CÁCH LỪA ĐẢO DARK WEB BỊ BẮT

Chúng tôi nói chuyện với tác giả nổi tiếng về an ninh mạng Andy Greenberg về cuốn sách tuyệt vời của anh ấy, Tracers in the Dark: Cuộc săn lùng toàn cầu các lãnh chúa tội phạm của tiền điện tử.

Không có trình phát âm thanh bên dưới? Nghe trực tiếp trên Soundcloud.
Thích đọc hơn nghe? Đầy bảng điểm có sẵn.

Phải làm gì?

  • Đừng quay lại sự bảo vệ của bạn. Mặc dù những vụ bắt giữ này được hoan nghênh và các thiết bị bị thu giữ có thể hữu ích trong việc giúp cảnh sát xác định thêm nhiều nghi phạm, nhưng bản thân vụ phá sản này khó có thể tạo ra một vết lõm đáng kể trong toàn bộ bối cảnh ransomware. Thật vậy, trong chính trường hợp này, chính Europol đã cảnh báo rằng “theo các báo cáo, DoppelPaymer kể từ đó đã đổi thương hiệu [như một băng nhóm ransomware có tên] 'Grief'.”
  • Đừng chỉ tập trung vào phần mềm tống tiền. Hãy nhớ rằng các cuộc tấn công ransomware đôi khi, có lẽ thường là phần cuối của một cuộc tấn công mở rộng hoặc thậm chí là nhiều cuộc tấn công, liên quan đến tội phạm chuyển vùng tự do trong mạng của bạn. Những kẻ lừa đảo có thể đánh cắp dữ liệu từ các máy tính trong doanh nghiệp của bạn và những kẻ có thể tranh giành hầu hết mọi tệp chúng muốn trên hầu hết các máy tính xách tay và máy chủ mà chúng muốn, có thể (và thường làm) thực hiện hầu hết mọi loại tấn công cấp quản trị hệ thống khác mà chúng muốn trong khi họ đang ở trong. Không có gì đáng ngạc nhiên, hoạt động “sysadmin” giả mạo này thường bao gồm việc âm thầm mở các lỗ hổng để cho chính những kẻ lừa đảo đó hoặc người khác quay lại sau.
  • Đừng đợi các cảnh báo về mối đe dọa xuất hiện trong bảng điều khiển của bạn. Ví dụ: trong các cuộc tấn công bằng mã độc tống tiền kép, giai đoạn đánh cắp dữ liệu, trong đó kẻ gian đang lấy cắp các tệp của bạn trước khi xáo trộn chúng, là một cảnh báo hữu ích rằng một cuộc tấn công đang diễn ra tích cực. Nhưng với một nhóm săn lùng mối đe dọa tốt, dù là nội bộ hay được thuê dưới dạng dịch vụ, bạn có thể nhắm đến việc phát hiện các dấu hiệu tấn công thậm chí sớm hơn thế, lý tưởng là ngay cả trước khi những kẻ tấn công có được điểm khởi đầu mà từ đó chúng hy vọng sẽ tấn công toàn bộ mạng của bạn .
  • Đừng trả tiền nếu bạn có thể tránh được. Chúng tôi luôn nói rằng, “Chúng tôi sẽ không phán xét bạn nếu bạn làm như vậy,” bởi vì chúng tôi không phải là những người có công việc kinh doanh vừa bị trật bánh. Nhưng trả tiền không chỉ tài trợ cho làn sóng tiếp theo của tội phạm mạng, nhưng thậm chí có thể không hoạt động. Colonial Pipeline khét tiếng đã chi hơn 4 triệu đô la cho một công cụ giải mã hóa ra là vô dụng, và Cảnh sát Hà Lan gần đây đã cảnh báo về một băng nhóm tống tiền trên mạng được cho là đã kiếm được hàng triệu đô la “bán sự im lặng của họ”, chỉ để thu thập dữ liệu bị đánh cắp. dù sao cũng bị rò rỉ.

    TÌM HIỂU THÊM VỀ XDR VÀ MDR

    Thiếu thời gian hoặc kiến ​​thức chuyên môn để xử lý các mối đe dọa an ninh mạng?
    Bạn lo lắng rằng an ninh mạng sẽ khiến bạn mất tập trung vào tất cả những việc khác mà bạn cần làm?

    Hãy xem Sophos Managed Detection and Response:
    Tìm kiếm, phát hiện và phản ứng mối đe dọa 24/7  ▶

    TÌM HIỂU THÊM VỀ ĐỐI THỦ HOẠT ĐỘNG

    đọc của chúng tôi Playbook của kẻ thù đang hoạt động.
    Đây là một nghiên cứu hấp dẫn về 144 cuộc tấn công thực tế của Sophos Field CTO John Shier.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.