Hirdetés
. Hirdetés

Az oroszok ukrajnai inváziója és az ellenintézkedések komoly hatással vannak a kiberbűnözésre

|

A szankciók nem biztos, hogy elégségesek a csoportok visszatartására, hogy pénzt zsaroljanak ki a világ különböző pontjain működő vállalkozásoktól.

Hirdetés

Egy hírhedt orosz kiberbűnözői csoport frissítette támadási módszereit válaszul azokra a szankciókra, amelyek megtiltják az amerikai vállalatoknak, hogy váltságdíjat fizessenek neki - állítják kiberbiztonsági kutatók. A Mandiant biztonsági cég (amelyet a Google márciusban vásárolt fel 5,4 milliárd dollárért) úgy véli, hogy az Evil Corp banda most egy jól ismert Lockbit nevű zsarolószoftver-eszközt használ, amely számos kiberbűnözői csoport fegyvertárában felbukkant már.

A Mandiant szerint az Evil Corp azért váltott Lockbitre a saját rosszindulatú szoftvere helyett, mert a számos kiberbűnözői csoport által használt zsarolóprogram segít elrejteni a banda érintettségének bizonyítékait. Így pedig a megtámadott szervezetek nagyobb valószínűséggel fizetnek zsarolási díjat - idézte a kutatókat az ITPro Today.

Hirdetés

Az amerikai pénzügyminisztérium már 2019-ben szankciókkal sújtotta az Evil Corp banda állítólagos vezetőit, jogi felelősséget teremtve az amerikai vállalatok számára, amelyek tudatosan küldtek váltságdíjat a hackereknek. Bár a kiberbiztonsági cégek az Evil Corpot kétféle, Dridex és Hades néven ismert rosszindulatú programtörzzsel hozták összefüggésbe, a csoport által használt LockBit miatt a feltört szervezetek azt hihetik, hogy a betörés mögött nem az Evil Corp, hanem egy másik hackercsoport áll.

Az Evil Corp áll az elmúlt évtized súlyos banki csalásokkal és számítógépes hackeléssel - az amerikai kormány szerint - több mint 100 millió dollárt lopott el 40 ország vállalataitól. A feltételezett bandatagok az Egyesült Államok, az Egyesült Királyság és Európa bűnüldöző szerveinek körözési listáján szerepelnek. Köztük Makszim Jakubets, aki az amerikaiak szerint korábban az orosz Szövetségi Biztonsági Szolgálatnak dolgozott. A 35 éves orosz férfi a brit Nemzeti Bűnüldözési Ügynökség szerint állítólag egy tigris tulajdonosa, és egy személyre szabott Lamborghinit vezet, amelynek rendszámtáblája lefordítva azt jelenti, hogy "tolvaj".

Az Egyesült Államok egyre gyakrabban alkalmaz szankciókat, hogy megpróbálja megfékezni a kiberbűnözői tevékenységeket, többek között megtiltva az amerikai szervezeteknek, hogy váltságdíjat fizessenek olyan ismert csoportoknak, mint az Evil Corp és a kriptovaluta-tőzsdék, amelyeket gyakran használnak a váltságdíjfizetések átirányítására.

Kimberly Goody, a Mandiant kiberbűnözés-elemzési igazgatója szerint az Evil Corp állítólagos támaszkodása a kész szoftverekre azt is sugallja, hogy a szankciók nem biztos, hogy elégségesek a csoportot visszatartására, hogy pénzt zsaroljon ki a világ különböző pontjain működő vállalkozásoktól.

Az amerikai Szövetségi Nyomozó Iroda, a Kiberbiztonsági és Infrastruktúra Ügynökség, a Pénzügyminisztérium és a Pénzügyi Bűnüldözési Hálózat június 1-jei figyelmeztetést adott ki egy másik orosz kiberbűnbandáról is. A Karakurt (két csoportja a Karakurt Team és a Karakurt Lair) olyan különböző taktikákat, technikákat és eljárásokat alkalmaz, amelyek állítólag jelentős kihívást jelentenek a védekezés és a kárenyhítés szempontjából.

Az ilyen csoportok esetében általában egy zsarolóprogram-támadásról van szó, amelynek során fájlokat titkosítanak és adatokat lopnak el, de a Karakurt más. A csoport nem titkosítja a gépeket vagy fájlokat, hanem csak adatokat lop el, és azzal fenyegetőzik, hogy elárverezi vagy kiadja azokat, ha nem fizetnek váltságdíjat.

A Karakurt által követelt ismert váltságdíjak 25 000 dollár és 13 millió dollár között mozognak bitcoinban. A fizetési határidők általában az áldozattal való első kapcsolatfelvételtől számított egy héten belül lejárnak. A Karakurt jellemzően képernyőképeket vagy az ellopott fájlkönyvtárak másolatait adja át az adatlopás bizonyítékaként.

A Karakurt egy baljós fordulatot vett, amikor a hackercsoport mögött állók e-mailekkel és telefonhívásokkal zaklatják az áldozat alkalmazottait, üzleti partnereit és ügyfeleit, hogy nyomást gyakoroljanak rájuk az együttműködés érdekében. A harmadik feleknek küldött e-mailek példákat tartalmaznak az ellopott adatokra, így társadalombiztosítási számokat, fizetési számlákat, privát e-maileket és az alkalmazottak vagy ügyfelek érzékeny üzleti adatait.

A váltságdíj kifizetésekor a Karakurt tagjai bizonyítékot szolgáltattak a fájlok törléséről, és esetenként részletezik, hogyan történt a kezdeti behatolás. A csoport behatolási vektorai az adatlopáshoz a lopott hitelesítő adatok megvásárlásától kezdve, a már veszélyeztetett áldozatokhoz való hozzáférés megszerzésétől vagy az ismert sebezhetőségek kihasználásáig kezdve terjednek.

"A Karakurt a zsarolóvírusok új arca, amely kihasználja a rossz titkosítást. Jellemzően a zsarolóvírusok nem törődtek az adatok védelmére használt titkosítással, mert nem fejtették vissza az eredeti adatokat, csak a meglévő titkosított adatokat vették át, és tették használhatatlanná az áldozat számára" - mondta Scott Bledsoe, a Theon Technology adatbiztonsági vállalat vezérigazgatója a SiliconAngle-nek.

A probléma az, hogy a vállalatok elkezdtek megfelelő biztonsági mentéseket készíteni, és ezért nem fizették tovább a váltságdíjat. "Ezek a zsarolóprogramok most feljebb kapcsoltak, és visszafejtették az adatokat, és azzal fenyegetőznek, hogy nyilvánosságra hozzák őket, ha a vállalat nem fizeti ki a váltságdíjat" - magyarázta Bledsoe.

Karakurt nem biztos, hogy egyedül cselekszik. Ivan Righi, a Digital Shadows digitális kockázatvédelmi cég vezető kiberfenyegetettségi elemzője megjegyezte, hogy a Karakurt valószínűleg kapcsolatban áll a sokkal ismertebb Conti zsarolóvírus-bandával. "A Conti nagy mennyiségű lopott adatot töltött fel a Karakurt webszerverekre. Sok kriptopénz tárca, amelyet a Karakurt használt az áldozatok kifizetéseinek fogadására, pénzt küldött a Conti tárcákba. Reálisan elképzelhető, hogy a Conti üzleti kapcsolatot alakított ki a Karakurttal, vagy hogy a Karakurt a Conti melléküzlete" - modta Righi.

Hardverek, szoftverek, tesztek, érdekességek és színes hírek az IT világából ide kattintva!

Hirdetés
0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.