Öt rosszindulatú ransomware támadás, amik kriptókat követelnek

Az állandó és mindent összekötő internetes kapcsolat a világunkat egy globális közösségé változtatja. Az online jelenlét azonban az előnyök mellett számos veszélyt is hordoz, amit bizonyos személyek vagy csoportosulások a saját önös érdekeikre akarnak kihasználni. Ennek egyik megnyilvánulása, hogy egy most megjelent jelentés szerint egyre több rosszindulatú ransomware támadás, azaz zsarolótámadás zajlott a világban a tavalyi évben, és ebből kifolyólag rekord mértékű kifizetést zsebeltek be ezek a támadók. Ugyanis ezek a támadások általában úgy épülnek fel, hogy a támadók millió dollárokat követelnek a megtámadott nagyvállalatoktól annak érdekében, hogy visszaszolgáltassák nekik az eltulajdonított fájlokat, azaz az üzleti információt.

A múlt hét során jelentette meg a Fox-IT, egy kiberbiztonsági vállalat a legújabb jelentését, amelynek egyik érdekes pontja az Evil Corp malware csoport tevékenységének a bemutatása, amely az áldozatoktól már Bitcoinban követeli a ‘váltságdíjat’.
A jelentés szerint az olyan támadócsoportok, mint az Evil Corp adatbázis szolgáltatásokat, felhőkörnyezeteket és fájlszervereket támadnak annak érdekében, hogy megbénítsák vagy lekapcsolják a vállalati infrastruktúra mentési – backup alkalmazásait. A Symantec, az egyik legnagyobb információbiztonsági vállalat pont június 28-án hárított el egy Evil Corp támadást, amely 30 különböző vállalatot veszélyeztetett az USA-ban, és Bitcoinban követelte a fizetséget.

Mostani cikkünkben 5 zsarolótámadást mutatunk be, amelyek nagyon aktívak voltak az elmúlt időszakban.

WastedLocker

A Wastedlocker az Evil Corp egyik legújabb zsarolóvírusa. A támadócsoport maga már igen régi, 2007 óta aktívak, és az egyik legveszélyesebb kiberbűnözői csoportnak számítanak. Tavaly elítélték a bűnözői csoport két tagját a Bugat/Dridex és Zeus banki trójai vírusos támadások kivitelezése miatt. Azóta az Evil Corp aktivitása visszaesett.
Azonban a Fox-IT elemzői most úgy vélik, hogy egy 2020. májusi támadás mögött ők állnak, és egy új ransomsware vírust vetettek be, amit WastedLocker-nek neveztek el. A nevét onnan kapta, hogy a vírus így nevezi el a fájlt, amit létrehoz, és „.wasted” kiterjesztés ad hozzá.

A támadás során ellehetetlenítik a backup alkalmazások, adatbázis szolgáltatások és felhőkörnyezetek működését. Így a WastedLocker blokkolja hogy az áldozatok visszaállítsák a mentésből a fájlokat.
A kiberbiztonsági cég elemzői azonban megjegyzik, hogy eddig a ransomware kitervelői nem tették közzé az áldozatoktól megszerzett információkat. Ennek hátterében az állhat, hogy az Evil Corp most nem kívánja felhívni magára a figyelmet.

ransomware

DoppelPaymer

A DoppelPaymer egy olyan ransomware, amelyet arra terveztek, hogy letitkosítsa a fájlokat, megszüntesse a fájlokhoz a hozzáféréseket, és ezzel arra kényszerítse az áldozatokat, hogy váltságdíjat fizessenek a fájlok kititkosítása érdekében. A támadást az INDRIK SPIDER nevű csoport hajtja végre, és kategorizálása szerint a BitPaymer zsarolótámadások egyik formája, amit először 2019-ben fedezett fel a CrowdStrike szoftvervégpont biztonsági vállalat.

Az elmúlt hónapokban ezzel a zsarolóvírussal támadták meg Torrance városát Kaliforniában. A támadók 200 GB-nyi adatok loptak el, amiért 100 Bitcoint követeltek váltságdíjként.
Egy másik jelentés szerint ez a malware támadta meg Alabama városának teljes információs rendszerét. A támadók azzal fenyegettek, hogy publikussá teszik az állampolgárok privát adatait, ha nem fizetnek nekik 300 ezer dollárnyi Bitcoint. Egy kiberbiztonsági elemző utólag megállapította, hogy a támadás a város email rendszerét semlegesítette úgy, hogy egy IT manager felhasználónevével jutottak be a város informatikai rendszerébe.

Dridex

A Check Point kiberbiztonsági szolgáltató jelentése szerint a Dridex malware idén márciusban jutott be a top 10 legveszélyesebb támadóvírus közé, pedig ez is elég régi, először 2011-ben jelent meg. A malware, ami Bugat és Cridex néven is fut, banki felhasználónevek ellopására specializálódott, és a Microsoft Word makrójába épül be.
A malware egyik újabb verziója már az egész Microsoft platform sérülékenységét is képes kihasználni.

A mostani koronavírusos helyzet újra felerősítette a Dridex alkalmazását, amit email phishing támadások során juttattak el legtöbbször a munkavállalók gépére, akik kénytelenek voltak otthonról dolgozni, és a cégek a saját IT védelmi vonalaikat kénytelenek voltak gyengíteni.

Ryuk

A Ryuk malware volt a másik támadóvírus, amely a koronavírus hatására kialakult helyzetben aktivizálta újra magát. Ez a ransomware elsősorban a kórházakat támadja. Mint a legtöbb malware, ez is spam email terjesztésével vagy geolokáció alapú letöltések útján fertőzi meg a felhasználók számítógépeit.
A Ryuk amúgy a Hermes egyik variánsa, amelyet a 2017-es októberi SWIFT támadásokhoz is kötnek. A támadók a Ryuk által eddig 52 tranzakciók során 700 Bitcoint szereztek meg tavaly augusztus óta.

ransomware

REvil

Ahogy zsarolótámadások térképe újabbnál újabb rosszindulatú támadásokkal bővül, az olyan kiberbűnözői csoportok mint a Revil (Sodinokibi) fokozatosan fejlődtek az évek során, és egyre szofisztikáltabb működési módra álltak át. A REvil csoport RaaS (Ransomware-as-a-Service) működési módban végzi tevékenységét, ami azt jelenti, hogy malwareket fejlesztenek, amit bűnözői csoportoknak értékesítenek tovább.

KPN biztonsági cég jelentése szerint a REvil malware már több mint 150 ezer számítógépet fertőzött meg világszerte. Ez a nagyszámú fertőzés mindössze 148 mintából származik, amik a REvil malware különféle variánsai. Minden egyes variáns arra specializálódott, hogy a megtámadott vállalat infrastruktúrájához a lehető legjobban illeszkedjen, és így növelje a fertőzés esélyét.

Nemrégen a hírhedt REvil ransomware csoport egy aukciót is meghirdetett, amely során kiárusították a megtámadott vállalatoktól ellopott adatokat. Erre azért volt szükség, mert ezek a vállalatok nem voltak hajlandóak kifizetni a váltságdíjként kért 50 ezer dollárnyi Monerót (XMR). Az elmúlt támadások során a REvil csoport a Bitcoinról Moneróra váltott, mert ez a kriptó szigorúbb adatvédelmi irányelvekkel rendelkezik.

Csökkenő kifizetések

Annak ellenére, hogy a kibertámadások száma nagyot nőtt az elmúlt egy évben, a támadások során követelt váltságdíjat kevesebb vállalat fizette ki összehasonlítva az előző évekkel. Ennek egyik oka, hogy a koronavírus okozta gazdasági recesszió sok céget nehéz helyzetbe hozott. Ha pedig kibertámadás érte őket, akkor sok esetben ez volt az utolsó szög a koporsójukba, és inkább csődöt jelentettek.
Ezt a magatartást az elmúlt időszakból a Emsisoft által kiadott jelentés is alátámasztja, amely megerősíti, hogy a jelentős visszaesés volt a sikeres ransomware támadásokban az USA-ban. A koronavírusos helyzet ugyan növelte a támadások számosságát, azonban a kifizetések jelentősen visszaestek az Egyesült Államokban és Európában is. Tehát úgy tűnik, hogy az áldozatok kevésbé hajlandóak vagy képesek kifizetni a kibertámadások során követelt váltságdíjat. Így sok kiberbűnözői csoportnak nem maradt más választása, mint ahogy láttuk a REvil esetében is, hogy az ellopott adatokat kiárusítsák a darkneten.