Am 12. Mai veröffentlichten Experten von Kaspersky Lab
einen umfangreichen Bericht über die Entwicklung von Angriffen mit Datenverschlüsselung und anschließender Erpressung. Der Artikel konzentriert sich hauptsächlich auf die Organisation dieses kriminellen Geschäfts und untersucht Angriffe auf große Unternehmen. Einer der klaren Trends des Jahres war die Jagd nach „Großwild“ durch kriminelle Banden - relativ große Organisationen, die in der Lage sind, ein ernsthaftes Lösegeld in digitaler Währung zu zahlen. Der Bericht enthält tägliche Nachrichten über Angriffe auf Unternehmen, einschließlich hochkarätiger Ereignisse wie den Angriff auf das Unternehmen Colonial Pipeline.
Das Wichtigste, was Sie über solche Gruppen wissen müssen, ist, dass sie komplex sind und nicht autonom arbeiten. Es wird nicht möglich sein, diese Bedrohung loszuwerden, selbst wenn die Organisatoren einer separaten Kampagne gefunden und verhaftet werden. Das Ökosystem wird nur dann aufhören zu arbeiten, wenn es sein Einkommen verliert, dh wenn die Betroffenen aufhören, das Lösegeld zu zahlen. Die Studie bietet Beispiele für die Rekrutierung neuer Organisationen und identifiziert typische Rollen: Anbieter von Anmeldeinformationen, Malware-Entwickler und Analysten, die für das Waschen von Kryptowährungen verantwortlich sind.
Der relevanteste Mythos, der im Artikel widerlegt wird, ist die Behauptung, dass die Angriffsziele im Voraus ausgewählt werden. Tatsächlich werden sie zufällig gefunden. In den meisten Fällen veröffentlichen die Eigentümer von Botnetzen und Brokern, die den Zugang zu kompromittierten Computern und Servern verkaufen, Informationen über potenzielle Opfer, und die Ziele werden "basierend auf der Verfügbarkeit" festgelegt. Hier gibt es eine wichtige Empfehlung für IT-Sicherheitsexperten: Sie müssen einzelne Vorfälle im Zusammenhang mit dem Eindringen in den geschützten Bereich oder einer Malware-Infektion rechtzeitig erkennen. Zwischen diesem ersten Anruf und einem vollständigen Angriff kann eine Zeitverzögerung liegen, um schwerwiegende Folgen zu vermeiden.
Die Studie beschreibt die Aktivitäten von zwei großen Ransomware-Gruppen, REvil und Babuk. Unter anderem besteht ein aggressiverer Druck auf potenzielle Opfer, der sie dazu motiviert, das Lösegeld schneller zu zahlen. Zu diesem Zweck werden Websites mit Beispielen für gestohlene Daten im Darknet erstellt und Informationen über Lecks werden in den Medien „durchgesickert“. Umgekehrt wird die Opferunterstützung verbessert, um das "Kundenerlebnis" zu erleichtern. Beispielsweise wird ein separater Chat für die Kommunikation mit Ransomware erstellt. In einer früheren Veröffentlichung von Experten von Kaspersky Lab zum Thema „benutzerdefinierte“ Ransomware wurde ein Rückgang der Anzahl groß angelegter Angriffe festgestellt. Der neue Bericht zeigt, wo sich die Aufmerksamkeit von Cyberkriminellen verlagert hat, und beschreibt die Umwandlung krimineller Operationen in ein komplexes und verzweigtes Geschäft.
Was ist sonst noch passiert?
Der Angriff auf den Betreiber der Kolonialpipeline in den USA führte zu einer kurzen Unterbrechung der Versorgung mit Ölprodukten an der Ostküste des Landes, löste an Tankstellen Panik aus und dürfte zu weiteren Änderungen der Maßnahmen zur Bekämpfung der Internetkriminalität führen. Letzte Woche gab es viele Veröffentlichungen zu diesem Angriff, aber nicht alle Informationen wurden bestätigt. Hier sind die interessantesten Artikel:
- Eine Analyse der DarkSide-Fraktion, die die Verantwortung für den Angriff von Brian Krebs übernimmt. Früher auf Twitter wies er entweder scherzhaft oder ernsthaft auf eine offensichtliche Tatsache über böswillige Verschlüsselungsprogramme mit russischsprachigen Wurzeln hin: Sie vermeiden ein System mit einem kyrillischen Layout.
Die Lokalisierung wurde auch im Bericht von Kaspersky Lab erwähnt, jedoch in einem anderen Kontext: Russischsprachige Organisatoren von Angriffen versuchen, nicht mit englischsprachigen Partnern zusammenzuarbeiten, da sie Gegenangriffe oder Informationslecks befürchten. In einem Beispiel wird für einen Sprachtest vorgeschlagen, lokale Folklore zu verwenden.
- Eine Analyse der technischen Merkmale der Malware, die DarkSide bei früheren Angriffen verwendet hat.
- Offiziell unbestätigte Informationen, nach denen Colonial Pipeline den Erpressern 5 Millionen Dollar gezahlt hat. Es wird behauptet, dass die Organisatoren des Angriffs den Zugriff auf ihre Infrastruktur sowie auf Krypto-Geldbörsen verloren haben.
- Analyse der Bewegung von Geldern in Bitcoin-Geldbörsen, die vermutlich zu DarkSide gehören.
Zusätzlich zu diesem Vorfall läuft "IB-life" wie gewohnt weiter. Das große Ereignis war die Studie über Schwachstellen in Geräten und das Wi-Fi-Protokoll selbst. Die Sammlung von Angriffen Fragattacks ( Projekt - Website , die Diskussion auf Habré) nutzt Schwachstellen , die von der Art der Verschlüsselung (bis WPA3) nicht ab, und kann verwendet werden , um Daten zu stehlen oder den Benutzer auf schädliche Ressourcen umleiten.
Schwedische Forscher Pontus Johnson fand eine Lücke im Konzept einer universellen Turing - Maschine , schlug zurück im Jahr 1967 ( Artikel The Register, Forschung Papier). In dieser rein theoretischen Übung wurde ein Weg gefunden, beliebigen Code auszuführen. Grund: Fehlende Eingabevalidierung.
Ein Verfahren zum Übertragen beliebiger Daten und zum Empfangen von Informationen von Geräten, die auf iOS und MacOS basieren, wird vorgeschlagen . Die Sicherheitsanfälligkeit des Bluetooth-Protokolls und die Funktionen der Find My-Technologie werden verwendet, um verlorene Geräte zu finden.
MSI warnt vor gefälschten Websites, die Malware unter dem Deckmantel des beliebten Afterburner-Übertaktungsprogramms verbreiten.