슬프게도, 우리는 그것을 덮을 필요가 있었습니다 DEADBOLT 랜섬웨어 여러번 전에 네이키드 시큐리티에.
이미 거의 XNUMX년 동안 랜섬웨어 사이버 범죄 현장의 이 틈새 플레이어는 대부분의 최신 랜섬웨어 공격과 매우 다른 방식으로 주로 가정 사용자와 소규모 기업을 노리고 있습니다.
약 XNUMX년 전 사이버 보안에 관여했다면 랜섬웨어가 처음으로 사이버 언더월드에서 막대한 자금을 조달하기 시작했을 때 당시 랜섬웨어의 "유명 브랜드"를 전혀 좋아하지 않았음을 기억할 것입니다. 크립토 라커, Locky, TeslaCrypt등 오늘날 전 세계에서 널리 사용되고 있습니다.
일반적으로 랜섬웨어 범죄의 초기 플레이어는 한 달 또는 세 번 정도의 술집에 가는 것을 건너뛸 경우 가능한 한 많은 사람들에게 협박금을 요구하는 데 의존했습니다. 할 수 있었다.
요약하자면 오늘날의 메이저 리그 랜섬웨어 사기꾼들과 달리 "회사에 수백만 달러를 수백 번 갈취하는 것을 목표로", 초기 플레이어는 보다 소비자 중심적인 경로를 택했습니다. "각 300달러에 수백만 명을 협박" (또는 $600 또는 $1000 – 금액은 다양함).
아이디어는 간단했습니다. 자신의 노트북에서 바로 파일을 스크램블하면 도둑이 인터넷 업로드 대역폭에 대해 걱정할 필요가 없었고 나중에 다시 판매할 수 있도록 모든 파일을 훔치려고 할 필요가 없었습니다.
그들은 분명히 눈에 띄지만 완전히 사용할 수 없는 모든 파일을 당신 앞에 남겨둘 수 있습니다.
예를 들어 스크램블된 문서를 워드 프로세서로 열려고 하면 디지털 양배추로 가득 찬 쓸모없는 페이지를 보거나 앱이 파일 형식을 인식하지 못해 열 수 없다는 사과 팝업 메시지가 표시됩니다. 전혀.
컴퓨터는 작동하지만 데이터는 작동하지 않습니다
일반적으로 사기꾼은 운영 체제와 앱을 그대로 두고 데이터에 집중하기 위해 노력합니다.
그들은 몇 가지 중요한 이유로 컴퓨터가 완전히 작동을 멈추는 것을 원하지 않았습니다.
첫째, 그들은 결혼 사진, 아기 비디오, 세금 환급, 대학 과정 작업, 미수금, 미지급금 및 기타 모든 디지털 데이터와 같은 소중한 파일이 얼마나 가깝지만 아직 멀었는지에 대한 고통을 보고 느끼기를 원했습니다. 몇 개월 동안 백업을 하려고 했지만 아직 완료되지 않았습니다.
둘째, 그들은 당신이 그것을 놓칠 수 없도록 바탕 화면 배경 화면으로 설치된 드라마틱 이미지가 있는 거대한 편지에 남겨둔 협박 메모를 보고 다시 구매해야 하는 암호 화폐를 획득하는 방법에 대한 지침을 완성하기를 원했습니다. 암호 해독 키를 사용하여 데이터를 해독합니다.
세 번째로, 그들은 브라우저에서 여전히 온라인 상태를 유지할 수 있는지 확인하기를 원했습니다. 먼저 "비용을 지불하지 않고 XYZ 랜섬웨어에서 복구하는 방법"에 대한 헛된 검색을 수행한 다음 낙담과 절망이 시작되면서 친구를 붙잡으려 했습니다. 당신은 구조 작업의 암호 화폐 부분을 도울 수 있다는 것을 알고 있었습니다.
불행히도 이 끔찍한 범죄 음모의 초기 플레이어, 특히 CryptoLocker 갱단은 돈을 지불한 피해자에게 빠르고 정확하게 응답하여 일종의 "도둑들 사이에서 명예" 평판을 얻는 데 상당히 신뢰할 수 있는 것으로 나타났습니다.
이것은 새로운 피해자들에게 돈을 지불하는 것이 가까운 장래에 재정에 큰 구멍을 태웠다는 것과 악마와 거래하는 것과 조금 비슷하지만 데이터를 되찾을 가능성이 매우 높다는 것을 확신시키는 것 같았습니다.
대조적으로 현대의 랜섬웨어 공격은 일반적으로 전체 회사(또는 학교, 병원, 지방 자치 단체 또는 자선 단체)의 모든 컴퓨터를 동시에 그 자리에 배치하는 것을 목표로 합니다. 그러나 전체 네트워크에서 안정적으로 작동하는 암호 해독 도구를 만드는 것은 놀라울 정도로 어려운 소프트웨어 엔지니어링 작업입니다. 사실 사기꾼에게 의존하여 데이터를 되찾는 것은 위험한 일입니다. 에서 2021년 Sophos 랜섬웨어 설문조사, 대금을 지불한 피해자의 1/2은 데이터의 최소 1/3을 잃었고 4%는 전혀 돌려받지 못했습니다. 2022에서, 우리는 중간 지점이 훨씬 더 나빴다는 것을 발견했습니다. 지불한 사람들의 1/2은 데이터의 40% 이상을 잃고 4%만이 모든 데이터를 되찾았습니다. 악명 높은 식민지 파이프 라인 랜섬웨어 공격에 대해 회사는 비용을 지불하지 않을 것이라고 밝혔고 악명 높게 4,400,000달러 이상을 포크했지만 범죄자가 제공한 암호 해독 도구가 사용하기에는 너무 느리다는 사실을 발견했습니다. 그래서 그들은 사기꾼에게 돈을 지불하지 않았다면 가졌을 모든 복구 비용과 함께 4.4만 달러를 지출하게 되었습니다. (놀랍게도 명백히 범죄자들의 열악한 운영 사이버 보안으로 인해 FBI는 결국 회복 Colonial이 지불한 비트코인의 약 85%. 그러나 그런 종류의 결과에 의존하지 마십시오. 이러한 대규모 환수는 규칙이 아닌 드문 예외입니다.)
수익성 있는 틈새 시장
DEADBOLT 사기꾼이 발견한 것 같습니다. 유리한 틈새 시장 따라서 네트워크에 침입하여 네트워크에 있는 모든 컴퓨터에서 작업할 필요가 없으며 랩톱이나 컴퓨터에 있는 일반 컴퓨터에 맬웨어를 몰래 넣는 것에 대해 걱정할 필요도 없습니다. 가정, 사무실 또는 둘 다.
대신 글로벌 네트워크 스캔을 사용하여 패치되지 않은 NAS 장치(네트워크 연결 스토리지), 일반적으로 주요 공급업체 QNAP에서 제공하고 네트워크의 다른 것은 건드리지 않고 파일 서버 장치의 모든 것을 직접 스크램블합니다.
대부분의 사람들이 가정이나 소규모 기업에서 하는 것처럼 NAS를 백업용으로 사용하고 음악, 비디오, 이미지와 같은 대용량 파일의 기본 스토리지로 사용하는 경우 NAS의 모든 항목에 대한 액세스를 잃는다는 것은 최소한 모든 랩톱 및 데스크톱 컴퓨터의 모든 파일을 잃는 것만큼 치명적일 수 있습니다.
NAS 장치를 항상 켜 놓은 상태로 두기 때문에 도둑이 가장 잘 자고 있을 때를 포함하여 원할 때마다 침입할 수 있습니다. 그들은 하나의 장치만 공격하면 됩니다. Windows 또는 Mac 컴퓨터를 사용하는지 여부에 대해 걱정할 필요가 없습니다.
...그리고 장치 자체의 패치되지 않은 버그를 이용함으로써, 그들은 당신이나 당신의 네트워크에 있는 다른 사람이 의심스러운 파일을 다운로드하도록 속이거나 의심스러운 웹사이트를 클릭하여 초기 발판을 마련할 필요가 없습니다.
사기꾼은 이메일이나 데스크탑 배경 화면을 통해 메시지를 받는 것에 대해 걱정할 필요조차 없습니다. 그들은 NAS 장치의 웹 인터페이스에서 로그인 페이지를 교활하게 다시 작성하므로 다음에 로그인을 시도하는 즉시 이유를 알아낼 수 있습니다. 모든 파일이 엉망이 되면 협박 요구에 직면하게 됩니다.
더 교묘하게 DEADBOLT 사기꾼은 이메일 통신을 피하고(추적 가능) 다크 웹 서버가 필요하지 않으며(복잡할 수 있음) 협상을 피하는 방법을 알아냈습니다.
간단히 말해서, 각 피해자는 BTC 0.03(현재 [2022-10-21] $600 미만)을 보내라는 일회성 비트코인 주소를 받게 됩니다.
거래 자체는 메시지("나는 지불하기로 결정했습니다")와 지불 자체("여기에 자금이 있습니다") 역할을 합니다.
그런 다음 사기꾼은 대가로 0달러를 보냅니다. 재정적 목적은 없지만 32자 주석이 포함된 거래입니다. (비트코인 거래는 다음으로 알려진 필드에 추가 데이터를 포함할 수 있습니다. OP_RETURN 자금을 이체하지 않지만 의견이나 메모를 포함하는 데 사용할 수 있습니다.)
이 32자는 스크램블된 NAS 장치에 고유한 16바이트 AES 암호 해독 키를 나타내는 XNUMX진수입니다.
BTC 거래의 XNUMX진수 코드를 랜섬웨어 "로그인 페이지"에 붙여넣으면 모든 데이터를 해독(희망!)하는 사기꾼이 남겨둔 암호 해독 프로그램이 실행됩니다.
경찰 불러!
그런데 여기 이 이야기에 놀라운 반전이 있습니다.
네덜란드 경찰은 암호 화폐 전문 회사와 협력하여 그들만의 교묘한 트릭 DEADBOLT 범죄자들의 교활함을 막기 위해.
그들은 피해자가 암호 해독 키를 다시 사기 위해 비트코인 지불을 보낸 경우 사기꾼은 BTC 지불 거래가 "채굴"할 누군가를 찾기 위해 비트코인 네트워크에 도달하자마자 암호 해독 키로 응답한 것으로 나타났습니다…
...비트코인 생태계의 누군가가 실제로 거래를 채굴하고 처음으로 확인했다고 보고할 때까지 기다리는 것보다.
즉, 유추를 사용하면 사기꾼은 신용 카드 결제가 완료되기를 기다리기 전에 제품을 가지고 매장을 나가게 합니다.
BTC 거래를 명시적으로 취소할 수는 없지만 두 가지 상충되는 지불을 동시에 보낼 수 있습니다(전문 용어로는 "이중 지출"이라고 함). 픽업, 채굴 및 "확인"된 것은 블록체인에 의해 통과되고 궁극적으로 승인되는 것입니다.
Bitcoin은 이중 지출을 허용하지 않기 때문에 다른 거래는 궁극적으로 폐기됩니다. (그렇다면 시스템이 작동하지 않을 수 있습니다.)
느슨하게 말해서 비트코인 채굴자들이 아직 처리되지 않은 거래에 다른 누군가가 이미 "채굴"한 자금이 포함되어 있다는 것을 알게 되면, 그들은 이제 그들에게 무가치하다는 이유로 미완성 거래에 대한 작업을 중단합니다.
여기에는 이타주의가 포함되지 않습니다. 결국 네트워크의 대다수가 이미 다른 트랜잭션을 수락하고 블록체인에 "커뮤니티가 유효한 것으로 인정하는" 것으로 받아들이기로 결정했다면 충돌하는 트랜잭션은 아직 진행되지 않았습니다. 아직까지는 채굴 목적으로 쓸모가 없는 것보다 더 나쁩니다.
충돌하는 거래를 계속 처리하려고 하면 결국 "마이닝"에 성공하더라도 아무도 두 번째 사후 확인을 수락하지 않을 것입니다.
...따라서 중복 채굴 작업에 대해 거래 수수료나 비트코인 보너스를 절대 받지 못한다는 것을 미리 알고 있으므로 시간이나 전력을 낭비할 필요가 없음을 미리 알고 있습니다.
한 사람(또는 마이닝 풀 또는 마이닝 풀 카르텔)이 비트코인 네트워크의 50% 이상을 제어하지 않는 한, 누구도 이미 승인된 "확인 취소"에 충분한 시간과 에너지를 명령할 수 있는 위치에 있어서는 안 됩니다. 기존의 모든 확인을 능가하는 새로운 확인 체인을 생성하여 트랜잭션.
더 많은 돈을 제공하십시오…
우리가 방금 언급 한 것을 감안할 때 거래 수수료, 당신은 아마도 이것이 어디로 가고 있는지 볼 수 있습니다.
채굴자가 궁극적으로 블록체인(실제로는 거래 묶음)에서 승인되는 거래를 성공적으로 확인하면 새로 발행된 비트코인(현재 금액은 BTC6.25)과 그에 대해 제공되는 모든 수수료로 보상을 받습니다. 번들의 각 트랜잭션.
다시 말해, 다른 모든 사람보다 거래 수수료를 조금 더 지불하도록 제안함으로써 채굴자가 거래의 우선 순위를 정하도록 장려할 수 있습니다.
… 또는 급하지 않다면 낮은 거래 수수료를 제공하고 채굴 커뮤니티에서 더 느린 서비스를 받을 수 있습니다.
실제로 시간이 얼마나 걸리는지 신경 쓰지 않는다면 거래 수수료로 비트코인 XNUMX을 지불하겠다고 제안할 수 있습니다.
네덜란드 경찰은 데이터를 되찾는 데 도움을 요청한 155개국의 13명의 희생자를 위해 한 일입니다.
그들은 자신이 선택한 BTC 주소에서 사기꾼에게 155개의 지불금을 보냈고 모두 거래 수수료를 XNUMX으로 지불하겠다고 제안했습니다.
스크립팅된 자동 프로세스에 의존하는 것처럼 보이는 사기꾼은 즉시 암호 해독 키를 되돌려 보냈습니다.
경찰이 각각의 암호 해독 키를 갖고 나면 즉시 "이중 지출" 거래를 보냈습니다...
... 이번에는 원래 사기꾼에게 제공한 것과 동일한 자금을 대신 자신에게 되돌려 주는 대가로 유혹적인 수수료를 제공합니다!
어떤 거래가 먼저 광부의 관심을 끌었는지 맞춰보세요. 어떤 것이 확인되었는지 맞춰보세요? 어떤 거래가 무산되었는지 맞춰보세요?
범죄자들에게 제안된 지불은 Bitcoin 커뮤니티에 의해 뜨거운 감자처럼 떨어졌습니다. 전에 사기꾼은 돈을 받았지만 시간 내에 그들은 암호 해독 키를 공개했습니다.
일회성 결과
좋은 소식…
...물론, 이 함정(합법적으로 수행된 경우 속임수가 아닙니다!)이 다시 작동하지 않는다는 점은 제외합니다.
불행히도 사기꾼이 앞으로 해야 할 일은 각 거래 요청이 처음 나타날 때 즉시 트리거하는 대신 암호 해독 키로 응답하기 전에 지불이 확인되는 것을 볼 수 있을 때까지 기다리는 것입니다.
그럼에도 불구하고 경찰들은 이번에는 사기꾼을 능가했습니다., 그리고 155명의 사람들이 데이터를 무료로 되찾았습니다.
또는 적어도 거의 아무것도 - 계획을 실행하는 데 필요한 거래 수수료의 작은 문제가 있지만 적어도 그 돈 중 어느 것도 사기꾼에게 직접 가지 않았습니다. (수수료는 각 거래의 채굴자에게 돌아갑니다.)
비교적 작은 결과일 수도 있고 일회성 승리일 수도 있지만 그럼에도 불구하고 우리는 그것을 칭찬합니다!
사이버 보안 위협 대응을 처리할 시간이나 전문 지식이 부족하십니까? 사이버 보안으로 인해 수행해야 하는 다른 모든 작업에서 주의가 산만해지지 않을까 걱정되십니까?
전단지에 포함된 링크에 대해 더 알아보기 Sophos 관리형 탐지 및 대응:
연중무휴 24시간 위협 사냥, 탐지 및 대응 ▶
