Hvad er WastedLocker Ransomware & hvordan man beskytter mod det?
Ligesom de fleste ransomware,WastedLocker angriber kørende computere Windows . WastedLocker er dog en storvildtjæger
Den angriber store virksomheder og beder om enorme løsesummer. Mens mange ransomware-angreb beder om et par hundrede dollars, kræver WastedLocker millioner af dollars .
Hackergruppen bag WastedLocker er meget velorganiseret. Siden de tidlige år af dette århundrede har holdet været i drift og har tjent mere end $100 millioner.
Hvem står bag WastedLocker ransomware?
WastedLocker er et produkt af Evil Corp , som også er kendt som Indrik Edderkop . Dette er en russisk hackergruppe, der havde sin første succes med Zeus , en banktrojaner. Det mest berømte produkt fra denne gruppe var Dridex , en banktrojaner, der tjente mange penge. Dridex var aktiv fra 2011 til 2020, og det blev udviklet som en forbedring af Zeus.
Evil Corp-gruppen ledes af Maxim Yakubets og Igor Turashev . I december 2019 udstedte det amerikanske finansministeriums Office of Foreign Assets Control (OFAC) en arrestordre på parret. Derudover tilbød den en belønning på 5 millioner dollars for oplysninger, der førte til deres anholdelse. Men de er desværre stadig ikke blevet anholdt.
Hovedårsagen til de amerikanske myndigheders interesse i Evil Corp er Dridex, ikke WastedLocker ransomware . Men de amerikanske sikkerhedsagenters seriøse opmærksomhed tvang Evil Corp til at revurdere alle sine aktiviteter, og gruppen gik midlertidigt stille indtil begyndelsen af 2020.
Kilden til WastedLocker ransomware
Evil Corp udviklede først ransomware i 2017 med bitpayer krypterer . Dette var en ' storvildtjæger ,” hvilket betyder, at den sigtede mod store virksomheder og bad om store løsesummer. Bitpaymer var forløberen for WastedLocker ransomware.
Bitpaymer blev lanceret i 2017, målrettet hospitaler i Storbritannien. Angreb gik derefter videre til at fokusere på store amerikanske virksomheder . Ransomwares leveringsmekanisme var baseret på Dridex-moduler.
I 2019 skabte Evil Corp en variant af Bitpaymer, kaldet Dobbeltbetaler , a Ransomware-as-a-Service system. RaaS giver andre hackere mulighed for at bruge et ransomware-system mod et gebyr uden at give dem adgang til koden.
I maj 2020 lancerede gruppen WastedLocker som erstatning for Bitpaymer. Den nye ransomware deler nogle proceduremæssige ligheder med Bitpaymer, men den har en helt anden kode.
WastedLocker-angreb er meget skræddersyet . Ikke alene udfører gruppen omfattende forskning for at få adgang til et netværk, men den producerer forskellige moduler for hvert angreb og en målrettet løsesumseddel. Gruppen er også i stand til at justere et angreb, efterhånden som det sker. I nogle tilfælde har netværksadministratorer været i stand til at opdage og fjerne WastedLocker-dråberen, hvilket fik gruppen til at droppe en mere skjult erstatning manuelt.
Starten på et WastedLocker-angreb
Størstedelen af målene for WastedLocker ransomware har været store amerikanske virksomheder. Offeret ser en popup når de besøger bestemte websteder, der råder dem til at opdatere deres browser. Pop op-vinduet, når det trykkes, downloader en zip-fil, som indeholder et JavaScript-modul kaldet SocGolish .
De websteder, som popup-vinduer vises på, er ikke Evil Corps egenskaber. De er snarere ejet og drevet af legitime organisationer, og Evil Corp-gruppen har formået at inficere dem. Nyhedshjemmesider er regelmæssigt målrettet mod denne infektion.
Modulet installerer og udfører PowerShell-scripts og Cobalt Strike bagdør. Dette giver hackerne adgang, og de vil bruge både manuelle og automatiserede metoder til at fortsætte med angrebet.
Hvad sker der i et WastedLocker ransomware-angreb?
Hackerens udgangspunkt er et endepunkt på systemet, der fik installeret Cobalt Strike-bagdøren. Ved hjælp af erfaring og et værktøjssæt af systemscanningstjenester opbygger hackeren derefter en profil af brugerkonti på endepunktet og forbindelser igennem til andre endepunkter på tværs af netværket. Hackeren vil også undersøge sagen backup behandler og slip filer for at få dem uploadet til backup-serveren for at udløse en ransomware-infektion.
På dette tidspunkt er aktivitet mere i stil med en avanceret vedvarende trussel end et ransomware-angreb. Værktøjer omfatter systemer til at registrere legitimationsoplysninger og få adgang til en brugers konto på den tilgåede enhed via en fjernadgang system, der gør hackeren i stand til at tilegne sig brugerens identitet og kommunikere med andre i organisationen.
Rekognosceringsfasen af angrebet giver hackeren mulighed for at bevæge sig på tværs af netværket for at lokalisere større fillagre og databaseservere, som vil blive infektionsmål. Når teamlederen er tilfreds, er det nok mål af høj værdi er blevet erhvervet, er WastedLocker ransomware aktiveret.
WastedLocker-kryptering
Ransomwaren udfører flere opgaver, før den starter kryptering. Det sletter alle skyggekopier af arbejdsdokumenter, der er genereret af autolagringsfunktioner. Det vil også deaktivere Windows Defender, hæve dens kontoadgang til Administrator og installere krypteringsprocessen som en tjeneste.
Systemet genererer en anden krypteringsnøgle for hver fil. Dette er en AES chiffer med en 256-bit nøgle. Disse nøgler er derefter opført i en fil, som er krypteret med en 4096-bit RSA chiffer. Dette er offentlig nøgle , som krypterede filerne. RSA bruger en anden nøgle til at dekryptere. Dette kan ikke udledes af krypteringsnøglen. Derfor er det ingen nytte for offeret at kende den offentlige nøgle. Den kan dog bruges som referencekode for dekrypteringsprocessen. RSA-nøgleparrene ser ud til at være genereret offsite, og den offentlige nøgle sendes til målsystemet, mens den private nøgle holdes på Evil Corp-serveren til levering efter betaling.
WastedLocker krypterer ikke systemfiler eller eksekverbare filer, så computeren er det stadig i drift . Det vil dog kryptere arbejdsfiler, såsom dokumenter, regneark, billeder, video- og lydfiler. Det krypterer også databaselagringsfiler. I stedet for blot at arbejde gennem en computer alfabetisk eller starte med den først kontaktede computer, identificerer WastedLocker det mest kritiske datalager og begynder med, hvad der synes at være dets. højeste værdi vejviser.
Hver fil overskrives med dens krypterede version. Filnavnet får så en ekstra udvidelse tilføjet til det. Dette er navnet på målvirksomheden og spildt , f.eks. vil en fil kaldet expeditions.docx på en computer i en virksomhed kaldet NewWorks, Inc. ende med navnet expenditure.docx.newworkswasted. Krypteringsprocessen genererer også en løsesumseddel for hver krypteret fil. Notens tekst er den samme i alle tilfælde, så du skal kun åbne en af dem. Dette er en tekstfil og har samme navn som den krypterede fil, men med _info. Så i tilfældet med eksemplet ville den tilhørende løsesumseddel være costs.docx.newworkswasted_info.
Løsesedlen har følgende format:
DIT NETVÆRK ER KRYPTERET NU
BRUG
GI IKKE DENNE EMAIL TIL TREDJEPARTER
UNDGÅ at omdøbe ELLER FLYT FILEN
FILEN ER KRYPTET MED FØLGENDE NØGLE:
[begynd_key]
BEHOLD DET
De e-mailadresser, der bruges til kontakt, bruges kun til ét angreb. De er altid på følgende domæner:
- PROTONMAIL.CH
- LUFTPOST.CC
- ECLIPSO.CH
- TUTANOTA.COM
- PROTONMAIL.COM
Når angrebet har krypteret alle målfilerne på offerets system, som kan nås, slutter ransomware-processen. Det fortsætter ikke med andre angrebsstrategier, såsom sletning af filer eller inficering af opstartsprocessen. Alle nye filer, der oprettes efter angrebet, vil ikke blive krypteret.
Gendannelse efter et WastedLocker-angreb
Der er ingen måde at dekryptere filer, der er blevet krypteret under et WastedLocker ransomware-angreb uden at betale løsesummen. AES-krypteringen, der konverterer filerne, kan ikke knækkes, og det samme er RSA-krypteringen, der beskytter listen over AES-nøgler. Der er ingen cybersikkerhedskonsulentfirmaer, der tilbyder en dekrypteringstjeneste.
Den bedste måde at komme sig efter et angreb uden at betale er at sikre, at du har sikkerhedskopier af alle kritiske filer, og at din backup-proces og dine lagre alle er meget godt beskyttet. Da Evil Corp-gruppen bruger manuel udforskning og vil bevæge sig rundt i systemet, så længe det tager at få alle de væsentlige datalagre, bliver disse backup-placeringer normalt også krypteret.
WastedLockers løsesumskrav varierer mellem $500.000 og $10 millioner. Det mest berømte angreb til dato var mod det amerikanske teknologifirma Garner i oktober 2020. Virksomheden blev bedt om 10 millioner dollars. Ingen ved, om virksomheden har betalt det samlede beløb. De betalte dog, fordi de fik dekrypteringsnøglen. Så iSo ser det ud til, at Evil Corp-gruppen er parat til det forhandle .
Forsvar mod WastedLocker ransomware
Den gode nyhed er, at WastedLocker er ikke længere aktiv . Imidlertid kaldte dens efterfølger Hades, er i omløb. Dette er meget tæt på WastedLocker, men har nogle ekstra sløringsfunktioner, der skal betragtes som WastedLocker II .
Det bedste forsvar ligger i intelligent cybersikkerhed, modtagelig og følsom data , som har yderligere regler omkring brug og beskyttelse. Her er tre cybersikkerhedspakker, der giver kompetent forsvar mod WastedLocker ransomware.
1. CrowdStrike Falcon Insight (GRATIS PRØVE)
CrowdStrike Falcon Insight er en endpoint detection and response (EDR) pakke. Det inkluderer et koordineringsmodul til at skabe beskyttelse i hele virksomheden. Endpoint-agenten installeres på Windows, macOS og Linux, og overvågeren er en cloud-baseret tjeneste.
Kombinationen af enhedsbeskyttelse og systemovervågning er et fremragende forsvar mod ransomware-systemer såsom WastedLocker og Hades. Modulerne på stedet bruger afsløring af anomalier , hvilket gør det muligt for den at opdage splinterny malware eller tilsyneladende ægte aktiviteter udført af legitime brugerkonti. EDR vil isolere enheder, hvis den opdager mistænkelig aktivitet. Det kan også slette malware-filer og dræbe processer. Endpoint-beskyttelsessystemet er fuldt autonomt, og det kan købes separat. Det markedsføres som CrowdStrike Falcon Prevent .
Det skybaserede modul er en trusseljæger der er afhængig af uploads af aktivitetslogfiler fra slutpunktsagenterne. Dette bliver feeds for trusselsefterretninger fra CrowdStrike, der opdaterer sine datasøgningsstrategier. Koordinatoren vil informere alle endepunkter om opdagede trusler, uanset om de er identificeret i dataene eller meddelt af et endepunkt.
Du kan få en15 dages gratis prøveperiodeaf Falcon Prevent.
Falcon Prevent Start 15-dages GRATIS prøveperiode
to. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus er en følsom databeskytter designet til virksomheder, der skal overholde HIPAA, PCI DSS og andre databeskyttelsesstandarder .
Systemet inkluderer et eDiscovery-modul, der identificerer følsomme datalagre og kategoriserer de typer data, der opbevares der. Dette giver dig mulighed for at øge sikkerhedsforanstaltningerne for disse steder. Derudover er forsvarssystemet i DataSecurity Plus implementeret som en overvågning af filintegritet (FIM). Dette vil opdage krypteringshandlinger med det samme og blokere dem.
Systemet undersøger de processer, der forsøger at få adgang til følsomme datalagre og måler deres hensigt. Derefter vil pakken blokere enhver ondsindet aktivitet ved at dræbe processer og suspendere kompromitterede brugerkonti.
DataSecurity Plus er en on-premises softwarepakke, der installeres på Windows Server . Den fås til en 30-dages gratis prøveperiode .
3. BitDefender GravityZone
BitDefender GravityZone er et bundt af cyberforsvarssystemer, der fungerer meget godt i kombination for at beskytte mod WastedLocker og Hades. Det vigtigste forsvar er dets styret backup service.
GravityZone redskaber malware scanning flere steder i systemet. Den scanner endepunkter og alle filer, der er downloadet til dem. Systemet beskytter også adgangen til backup-lageret og scanner hver fil, før den lader den tænde. Det inkluderer endda manuelt kommanderede overførsler.
GravityZone-pakken har en sårbarhedsscanner og en patch manager for at reducere din angrebsflade. Der er også en filintegritetsmonitor derinde som en sidste udvej. GravityZone implementerer automatiske svar. Den kan isolere en enhed, så snart den opdager mistænkelig aktivitet. Det vil begrænse den potentielle skade, som WastedLocker og Hades kan forårsage.
BitDefender GravityZone er en softwarepakke, der kører som en virtuel enhed. Den fås til en måneds gratis prøveperiode .