Ransomware är en typ av skadlig programvara som är utformad för att låsa filer på en dator eller ett system tills en lösen är betald. En av de första ransomwares som någonsin dokumenterats var PC Cyborg från 1989 - den krävde en skamlösning på 189 dollar för att dekryptera låsta filer.

Datortekniken har gått långt sedan 1989, och ransomware har utvecklats tillsammans med det, vilket har lett till komplexa och potenta varianter som WastedLocker. Så hur fungerar WastedLocker? Vem har påverkats av det? Och hur kan du skydda dina enheter?

Vad är WastedLocker och hur fungerar det?

WastedLocker, som först upptäcktes i början av 2020, drivs av de ökända hackergruppen Evil Corp., som också är känt som INDRIK SPIDER eller Dridex -gänget, och troligen har band till ryska underrättelsetjänster.

USA: s finansdepartementskontor för utländsk tillgångskontroll utfärdade sanktioner mot Evil Corp 2019 och justitieministeriet anklagade sin påstådda ledare Maksim Yakubets, som har tvingat gruppen att ändra taktik.

instagram viewer

WastedLocker -attacker börjar vanligtvis med SocGholish, en Remote Access Trojan (RAT) som utger sig för webbläsar- och Flash -uppdateringar för att lura målet att ladda ner skadliga filer.

RELATERAD: Vad är en Trojan för fjärråtkomst?

När målet har laddat ner den falska uppdateringen, krypterar WastedLocker effektivt alla filer på sin dator och lägger till dem med "bortkastat", vilket verkar vara en nick till internet memes inspirerade av Grand Theft Auto videospel serier.

Så till exempel skulle en fil som ursprungligen hette "muo.docx" visas som "muo.docx.wasted" på en komprometterad maskin.

För att låsa filer använder WastedLocker en kombination av Advanced Encryption Standard (AES) och Rivest-Shamir-Adleman (RSA) krypteringsalgoritmer, vilket gör dekryptering praktiskt taget omöjlig utan ondska Corp: s privata nyckel.

AES -krypteringsalgoritmen används av finansinstitut och regeringar - National Security Agency (NSA) använder den till exempel för att skydda hemlig information.

Uppkallad efter tre Massachusetts Institute of Technology (MIT) forskare som först offentligt beskrev det i 1970 -talet är RSA -krypteringsalgoritmen betydligt långsammare än AES och används mest för att kryptera små mängder data.

WastedLocker lämnar en lösenanteckning för varje fil som den krypterar och uppmanar offret att kontakta angriparna. Meddelandet innehåller vanligtvis en e -postadress för Protonmail, Eclipso eller Tutanota.

Lösningsanteckningarna är vanligtvis anpassade, nämner målorganisationen vid namn och varnar för att kontakta myndigheterna eller dela kontaktmeddelandena med tredje part.

Konstruerad för att rikta in sig på stora företag, kräver skadlig programvara vanligtvis lösenbetalningar på upp till 10 miljoner dollar.

WastedLockers högprofilerade attacker

I juni 2020, Symantec avslöjade 31 WastedLocker-attacker mot USA-baserade företag. De allra flesta målorganisationer var stora hushållsnamn och 11 var Fortune 500 -företag.

Ransomware riktade sig till företag inom olika sektorer, inklusive tillverkning, informationsteknik och media och telekommunikation.

Evil Corp brutit mot nätverken för riktade företag, men Symantec lyckades hindra hackarna från att distribuera WastedLocker och hålla data för lösen.

Det verkliga antalet attacker kan vara mycket högre eftersom ransomware distribuerades genom dussintals populära, legitima nyhetssajter.

Naturligtvis har företag som är värda miljarder dollar skydd i toppklass, vilket talar mycket om hur farligt WastedLocker är.

Samma sommar använde Evil Corp WastedLocker mot det amerikanska GPS- och fitness-trackerföretaget Garmin, som beräknas ha en årlig intäkt på över 4 miljarder dollar.

Som det israeliska cybersäkerhetsföretaget Votiro noterade vid den tiden, attacken förlamade Garmin. Det störde många av företagets tjänster och påverkade till och med callcenter och vissa produktionslinjer i Asien.

Garmin betalade enligt uppgift 10 miljoner dollar för att återfå tillgång till sina system. Det tog företagets dagar att få sina tjänster igång, vilket förmodligen orsakade massiva ekonomiska förluster.

Även om Garmin tydligen tyckte att betala lösen var det bästa och mest effektiva sättet att hantera situationen, är det viktigt att notera att man aldrig ska lita på cyberbrottslingar - ibland har de inget incitament att tillhandahålla en dekrypteringsnyckel efter att ha fått lösen betalning.

I allmänhet är det bästa sättet att göra en cyberattack omedelbart att kontakta myndigheterna.

Dessutom inför regeringar över hela världen sanktioner mot hackergrupper, och ibland dessa sanktioner gäller även personer som lämnar in eller underlättar en lösenbetalning, så det finns också juridiska risker med överväga.

Vad är Hades Variant Ransomware?

I december 2020 upptäckte säkerhetsforskare en ny ransomware -variant som kallades Hades (att inte vara förväxlas med 2016 Hades Locker, som vanligtvis distribueras via e -post i form av ett MS Word anknytning).

En analys från CrowdStrike fann att Hades i huvudsak är en 64-bitars kompilerad variant av WastedLocker, men identifierade flera viktiga skillnader mellan dessa två skadliga hot.

Till exempel, till skillnad från WastedLocker, lämnar Hades inte en lösenanteckning för varje fil som den krypterar - den skapar en enda lösensedel. Och den lagrar nyckelinformationen i krypterade filer, till skillnad från att lagra den i lösenanteckningen.

Hades -varianten lämnar inte kontaktinformation; det leder istället offren till en Tor -webbplats, som är anpassad för varje mål. Tor -webbplatsen låter offret dekryptera en fil gratis, vilket uppenbarligen är ett sätt för Evil Corp att visa att dess dekrypteringsverktyg faktiskt fungerar.

Hades har främst riktat sig till stora organisationer baserade i USA med årliga intäkter över $ 1 miljarder, och dess distribution markerade ännu ett kreativt försök av Evil Corp att ändra märke och undvika sanktioner.

Hur man skyddar mot WastedLocker

Med cyberattacker på väg att investera i verktyg för skydd mot ransomware är ett absolut måste. Det är också viktigt att hålla programvaran uppdaterad på alla enheter för att förhindra att cyberbrottslingar utnyttjar kända sårbarheter.

Sofistikerade ransomware -varianter som WastedLocker och Hades har möjlighet att flytta i sidled, vilket innebär att de kan få tillgång till all data i ett nätverk, inklusive molnlagring. Det är därför som underhåll av en offline -säkerhetskopiering är det bästa sättet att skydda viktig data från inkräktare.

Eftersom anställda är den vanligaste orsaken till överträdelser bör organisationer investera tid och resurser i att utbilda personalen om grundläggande säkerhetsmetoder.

I slutändan är implementering av en Zero Trust -säkerhetsmodell utan tvekan det bästa sättet att säkerställa en organisation är skyddad mot cyberattacker, inklusive de som bedrivs av Evil Corp och andra statligt sponsrade hackare grupper.

Dela med sigTweetE-post
Vad är ett Zero Trust Network och hur skyddar det dina data?

Vill du skydda ditt företag mot cyberbrottslingar? VPN är bra, men de kanske inte är lika effektiva som ZTN med programvarudefinierade omkretser.

Läs Nästa

Relaterade ämnen
  • säkerhet
  • Ransomware
  • Online säkerhet
  • Skadlig programvara
  • Datasäkerhet
Om författaren
Damir Mujezinovic (10 artiklar publicerade)

Damir är frilansande författare och reporter vars arbete fokuserar på cybersäkerhet. Utanför skrivandet tycker han om att läsa, musik och film.

Mer från Damir Mujezinovic

Prenumerera på vårt nyhetsbrev

Gå med i vårt nyhetsbrev för tekniska tips, recensioner, gratis e -böcker och exklusiva erbjudanden!

Klicka här för att prenumerera