Ne yazık ki, örtbas etmemiz gerekiyordu DEADBOLT fidye yazılımı birkaç defa önce Çıplak Güvenlik üzerine.
Neredeyse iki yıldır, fidye yazılımı siber suç sahnesindeki bu niş oyuncu, çoğu çağdaş fidye yazılımı saldırılarından çok farklı bir şekilde esas olarak ev kullanıcıları ve küçük işletmeleri avlıyor:
Yaklaşık on yıl önce siber güvenlikle uğraştıysanız, fidye yazılımları siber yeraltı dünyası için büyük bir para döndürücü olmaya başladığında, o zamanlar fidye yazılımının “büyük isim markalarını” hiç sevmeden hatırlayacaksınız: cryptolocker, Locky, TeslaCrypt, ve daha fazlası.
Tipik olarak, fidye yazılımı suçunun ilk oyuncuları, istedikleri kadar çok kişiden bir veya üç aylık şantaj ödemelerini, pub'a gitmeyi atlarsanız, neredeyse uygun fiyatlı talep etmeye dayanıyordu. abilir.
Şu şekilde özetleyebileceğiniz günümüzün birinci lig fidye yazılımı dolandırıcılarının aksine “Yüzlerce kez şirketlere milyonlarca dolar şantaj yapmayı hedefliyoruz”, ilk oyuncular daha tüketici odaklı bir rota izledi "milyonlarca kişiye her biri 300 dolar şantaj" (veya 600$ veya 1000$ – miktarlar değişiklik gösteriyordu).
Fikir basitti: Dosyalarınızı tam orada kendi dizüstü bilgisayarınızda karıştırarak, dolandırıcıların internet yükleme bant genişliği konusunda endişelenmelerine ve daha sonra size geri satabilmeleri için tüm dosyalarınızı çalmaya çalışmasına gerek yoktu.
Tüm dosyalarınızı önünüzde, görünüşe göre görünürde, ancak tamamen kullanılamaz halde bırakabilirler.
Örneğin, kelime işlemcinizle şifreli bir belge açmaya çalışırsanız, ya dijital kıyılmış lahana dolu gereksiz sayfalar ya da uygulamanın dosya türünü tanımadığı ve açamadığı için özür dileyen bir açılır mesaj görürsünüz. hiç de öyle.
Bilgisayar çalışıyor, veriler çalışmıyor
Genellikle dolandırıcılar, işletim sisteminizi ve uygulamalarınızı olduğu gibi bırakmak yerine verilerinize odaklanarak kendi yollarından çıkarlar.
Aslında, birkaç önemli nedenden dolayı bilgisayarınızın tamamen çalışmayı bırakmasını istemediler.
Öncelikle, değerli dosyalarınızın ne kadar yakın ama bir o kadar uzakta olduğunun acısını görmenizi ve hissetmenizi istediler: düğün fotoğraflarınız, bebek videolarınız, vergi beyannameleriniz, üniversite kurslarınız, alacak hesaplarınız, borçlarınız ve diğer tüm dijital verileriniz. Aylardır yedeklemek niyetindeydi ama henüz tam olarak toparlamamıştı.
İkinci olarak, DRAMATİK GÖRÜNTÜLERLE BÜYÜK HARFLERLE bıraktıkları, kaçırmamanız için masaüstü duvar kağıdınız olarak yüklenen şantaj notunu, geri satın almanız gereken kripto paraları nasıl edineceğinize ilişkin talimatlarla birlikte görmenizi istediler. verilerinizin şifresini çözmek için şifre çözme anahtarı.
Üçüncüsü, tarayıcınızda hala çevrimiçi olabileceğinizden emin olmak istediler, önce "XYZ fidye yazılımından ödeme yapmadan nasıl kurtulurum" için boş bir arama yapmak ve ardından umutsuzluk ve çaresizlik baş gösterirken bir arkadaşınızı ele geçirmek için boşuna bir arama yapmak istediler. kurtarma operasyonunun kripto para birimi kısmında size yardımcı olabileceğini biliyordunuz.
Ne yazık ki, bu iğrenç suç komplosunun ilk oyuncuları, özellikle CryptoLocker çetesi, ödeme yapan kurbanlara hızlı ve doğru bir şekilde yanıt verme konusunda oldukça güvenilir oldular ve bir tür “hırsızlar arasında onur” itibarı kazandılar.
Bu, yeni kurbanları, tüm bu ödemelerin yakın gelecekte mali durumlarında dev bir delik açtığına ve bunun şeytanla bir anlaşma yapmak gibi bir şey olduğuna, büyük olasılıkla verilerini geri alacağına ikna ediyor gibiydi.
Modern fidye yazılımı saldırıları, aksine, tipik olarak, tüm şirketlerdeki (veya okullarda, hastanelerde, belediyelerde veya hayır kurumlarında) tüm bilgisayarları aynı anda olay yerine koymayı amaçlar. Ancak tüm ağda güvenilir bir şekilde çalışan şifre çözme araçları oluşturmak, şaşırtıcı derecede zor bir yazılım mühendisliği görevidir. Aslında, dolandırıcılara güvenerek verilerinizi geri almak riskli bir iştir. İçinde 2021 Sophos Fidye Yazılımı Araştırması, Ödeyen mağdurların 1/2'si verilerinin en az 1/3'ünü kaybetti ve %4'ü hiçbir şey geri alamadı. 2022 içinde, ödeme yapanların 1/2'sinin verilerinin %40'ını veya daha fazlasını kaybettiğini ve yalnızca %4'ünün tüm verilerini geri aldığı, yolun yarısının daha da kötü olduğunu bulduk. rezil Colonial Boru Hattı fidye yazılımı saldırısı, şirket ödeme yapmayacağını söyledi, sonra kötü şöhretli bir şekilde 4,400,000 doları aştı, ancak suçluların sağladığı şifre çözme aracının herhangi bir kullanım için çok yavaş olduğunu buldu. Böylece, dolandırıcılara ödeme yapmasalardı sahip olacakları tüm kurtarma maliyetlerinin yanı sıra boşa giden 4.4 milyon dolarlık bir harcamayla karşılaştılar. (Şaşırtıcı bir şekilde ve görünüşe göre suçlular tarafından zayıf operasyonel siber güvenlik nedeniyle, FBI sonunda iyileşti Colonial tarafından ödenen bitcoinlerin yaklaşık %85'i. Bununla birlikte, bu tür sonuçlara güvenmeyin: bu tür büyük ölçekli geri almalar, kural değil, nadir bir istisnadır.)
kazançlı bir niş
DEADBOLT dolandırıcıları, öyle görünüyor ki, bir kazançlı niş Bu sayede ağınıza girmeleri ve ağ üzerindeki tüm bilgisayarlara ulaşmaları gerekmez ve dizüstü bilgisayarınıza veya bilgisayarınızdaki normal bilgisayarlardan herhangi birine kötü amaçlı yazılımları gizlice sokma konusunda endişelenmelerine bile gerek kalmaz. ev, ofis veya her ikisi de.
Bunun yerine, yama uygulanmamış NAS cihazlarını tanımlamak için küresel ağ taramalarını kullanırlar (ağa bağlı depolama), tipik olarak büyük satıcı QNAP'den gelenler ve ağınızdaki başka hiçbir şeye dokunmadan dosya sunucusu cihazınızdaki her şeyi doğrudan karıştırın.
Buradaki fikir, NAS'ınızı çoğu kişinin evde veya küçük bir işletmede yaptığı gibi yedeklemeler ve müzik, videolar ve resimler gibi büyük dosyalar için birincil depolama olarak kullanıyorsanız, NAS'ınızdaki her şeye erişiminizi kaybetmektir. en azından tüm dizüstü ve masaüstü bilgisayarlarınızdaki tüm dosyaları kaybetmek kadar veya belki daha da kötüsü olabilir.
NAS cihazınızı muhtemelen her zaman açık bıraktığınız için, dolandırıcılar, en çok uykuda olduğunuz zamanlar da dahil olmak üzere, istedikleri zaman içeri girebilirler; sadece bir cihaza saldırmaları gerekir; Windows veya Mac bilgisayar kullanıyor olsanız da endişelenmelerine gerek yok…
…ve cihazın kendisindeki yama uygulanmamış bir hatadan yararlanarak, sizi veya ağınızdaki herhangi birini şüpheli bir dosya indirmeniz veya ilk dayanaklarını elde etmek için şüpheli bir web sitesine tıklamanız için kandırmalarına gerek kalmaz.
Dolandırıcıların size e-posta veya masaüstü duvar kağıdınız aracılığıyla bir mesaj alma konusunda endişelenmelerine bile gerek yok: NAS cihazınızın web arayüzünde oturum açma sayfasını sinsice yeniden yazarlar, böylece bir sonraki oturum açmayı denediğinizde, belki de nedenini öğrenmek için tüm dosyalarınız bozulursa, yüzler dolusu şantaj talebi alırsınız.
Daha da sinsi bir şekilde, DEADBOLT dolandırıcıları, sizinle herhangi bir e-posta yazışmasını önleyen (muhtemelen izlenebilir), karanlık web sunucuları gerektirmeyen (potansiyel olarak karmaşık) ve herhangi bir müzakereden kaçınan bir yol bulmuşlardır: bu onların yolu veya veri otoyoludur.
Basitçe söylemek gerekirse, her kurbana, kendilerine 0.03 BTC göndermeleri söylenen tek seferlik bir Bitcoin adresi sunulur (şu anda [2022-10-21] 600 doların biraz altında):
İşlemin kendisi hem bir mesaj ("Ödemeye karar verdim") hem de ödemenin kendisi ("ve işte fonlar") olarak hareket eder.
Dolandırıcılar daha sonra karşılığında size 0 $ gönderir – finansal amacı olmayan, ancak 32 karakterlik bir yorum içeren bir işlem. (Bitcoin işlemleri olarak bilinen alanda ek veriler içerebilir. OP_RETURN bu, herhangi bir fon aktarmaz, ancak yorum veya not eklemek için kullanılabilir.)
Bu 32 karakter, şifreli NAS cihazınıza özgü 16 baytlık bir AES şifre çözme anahtarını temsil eden onaltılık rakamlardır.
BTC işlemindeki onaltılık kodu fidye yazılımı “oturum açma sayfasına” yapıştırırsınız ve süreç, tüm verilerinizi çözen (umarsınız!) dolandırıcılar tarafından geride bırakılan bir şifre çözme programını başlatır.
Polisi aramak!
Ama işte bu hikayeye büyüleyici bir dönüş.
Kripto para uzmanlığına sahip bir şirketle birlikte çalışan Hollanda polisi, kendi sinsi hilesi DEADBOLT suçlularının sinsiliğine karşı koymak için.
Bir kurban şifre çözme anahtarını geri almak için bir Bitcoin ödemesi gönderirse, dolandırıcıların görünüşe göre BTC ödeme işlemi Bitcoin ağına çarptığı anda şifre çözme anahtarıyla yanıt verdiğini ve onu “benim” için birini aradıklarını fark ettiler…
…Bitcoin ekosistemindeki herhangi birinin işlemi gerçekten çıkardığını ve böylece ilk kez onayladığını bildirmesini beklemek yerine.
Başka bir deyişle, bir benzetme kullanmak gerekirse, dolandırıcılar, kredi kartı ödemenizin geçmesini beklemeden önce ürünle birlikte mağazalarından çıkmanıza izin veriyor.
Ve bir BTC işlemini açıkça iptal edemeseniz de, aynı anda iki çelişen ödeme gönderebilirsiniz (argoda "çifte harcama" olarak bilinir), ilk ödemeden memnun olduğunuz sürece Alınan, çıkarılan ve “onaylanan”, geçecek ve nihayetinde blok zinciri tarafından kabul edilecek olandır.
Bitcoin çifte harcamaya izin vermediği için diğer işlem sonunda iptal edilecek. (Eğer öyleyse, sistem çalışamazdı.)
Basitçe söylemek gerekirse, Bitcoin madencileri, henüz işlenmemiş bir işlemin, başka birinin zaten "çıkardığı" fonları içerdiğini gördüklerinde, artık kendileri için değersiz olduğu gerekçesiyle bitmemiş işlem üzerinde çalışmayı bırakırlar.
Burada hiçbir fedakarlık söz konusu değildir: sonuçta, ağın çoğunluğu diğer işlemi kabul etmeye ve onu "topluluğun geçerli olarak kabul ettiği" olarak blok zincirine dahil etmeye karar vermişse, çelişkili işlem gitmemiştir. henüz madencilik amaçları için yararsız olmaktan daha kötüdür.
Çakışan işlemi işlemeye devam ederseniz, sonunda başarılı bir şekilde "benim" yapsanız bile, hiç kimse postadan sonraki ikinci onayınızı kabul etmeyecektir, çünkü onlarda bunu yapacak hiçbir şey yoktur…
…böylece, gereksiz madencilik işiniz için asla herhangi bir işlem ücreti veya Bitcoin bonusu almayacağınızı önceden biliyorsunuz ve bu nedenle, bunun için herhangi bir zaman veya elektrik harcamanın bir anlamı olmadığını önceden biliyorsunuz.
Hiç kimse (veya madencilik havuzu veya madencilik havuzlarının karteli) Bitcoin ağının %50'sinden fazlasını kontrol etmedikçe, hiç kimse zaten kabul edilmiş bir şeyi "onaylamayı iptal etmek" için yeterli zaman ve enerjiye komuta edecek durumda olmamalıdır. tüm mevcut olanları geride bırakan yeni bir onaylar zinciri oluşturarak işlem.
Daha fazla para teklif et…
Az önce bahsettiğimiz göz önüne alındığında işlem ücretleri, muhtemelen bunun nereye gittiğini görebilirsiniz.
Bir madenci, nihayetinde blok zincirine kabul edilen bir işlemi (aslında, bir işlem demeti) başarılı bir şekilde onayladığında, yeni basılan bitcoinlerde (şu anda miktar BTC6.25'tir) bir ödül ve ayrıca teklif edilen tüm ücretler alır. paketteki her işlem.
Başka bir deyişle, herkesten biraz daha fazla işlem ücreti ödemeyi teklif ederek madencileri işleminize öncelik vermeye teşvik edebilirsiniz…
…ya da aceleniz yoksa, düşük bir işlem ücreti sunabilir ve madencilik topluluğundan daha yavaş hizmet alabilirsiniz.
Aslında, ne kadar sürdüğünü gerçekten umursamıyorsanız, işlem ücreti olarak sıfır bitcoin ödemeyi teklif edebilirsiniz.
Hollanda polisleri, verilerini geri almak için yardım isteyen 155 farklı ülkeden 13 kurban için bunu yaptı.
Kendi seçtikleri BTC adreslerinden dolandırıcılara 155 ödeme gönderdiler ve hepsi sıfır işlem ücreti ödemeyi teklif etti.
Görünüşe göre kodlanmış, otomatik bir işleme dayanan dolandırıcılar, şifre çözme anahtarlarını derhal geri gönderdi.
Polisler her bir şifre çözme anahtarına sahip olduklarında, hemen bir "çifte harcama" işlemi gönderdiler…
…bu sefer, başlangıçta sahtekarlara teklif ettikleri fonların aynısını kendilerine geri ödemeleri karşılığında teklif edilen cazip bir ücretle!
Bilin bakalım madencilerin dikkatini ilk önce hangi işlemler çekti? Bilin bakalım hangileri onaylandı? Bilin bakalım hangi işlemler sonuçsuz kaldı?
Suçlulara önerilen ödemeler, Bitcoin topluluğu tarafından sıcak patates gibi düştü. önce dolandırıcılar parasını aldı ama sonra şifre çözme anahtarlarını ortaya çıkarmışlardı.
Tek seferlik sonuç
Harika haber…
…tabii ki, bu tuzak (yasal olarak yapılmışsa hile değildir!) tekrar çalışmayacaktır.
Ne yazık ki, gelecekte dolandırıcıların tek yapması gereken, her işlem talebinin ilk görünümünde hemen tetiklemek yerine, şifre çözme anahtarlarıyla yanıt vermeden önce ödemelerinin onaylandığını görene kadar beklemektir.
Yine de polisler bu sefer dolandırıcıları alt ettive 155 kişi verilerini karşılıksız geri aldı.
Ya da en azından neredeyse hiçbir şey için - planın çalışması için gerekli olan küçük işlem ücretleri meselesi var, ancak bu paranın en azından hiçbiri doğrudan dolandırıcılara gitmedi. (Ücretler, her işlemin madencilerine gider.)
Nispeten mütevazı bir sonuç olabilir ve tek seferlik bir zafer olabilir, ancak yine de takdir ediyoruz!
Siber güvenlik tehdidi müdahalesiyle ilgilenmek için zamanınız veya uzmanlığınız mı az? Siber güvenliğin sizi yapmanız gereken diğer şeylerden uzaklaştıracağından mı endişeleniyorsunuz?
Hakkında daha fazla bilgi alın Sophos Tarafından Yönetilen Tespit ve Müdahale:
24/7 tehdit avı, tespiti ve müdahalesi ▶
- blockchain
- zeka
- karşı saldırı
- cryptocurrency
- cryptocurrency cüzdanlar
- kripto değişimi
- siber güvenlik
- siber suçluların
- Siber güvenlik
- Sürgü
- iç güvenlik bakanlığı
- dijital cüzdanlar
- hollanda polisi
- güvenlik duvarı
- Kaspersky
- Yasa ve Düzen
- kötü amaçlı yazılım
- Mcafee
- Çıplak Güvenlik
- NexBLOC
- Platon
- plato yapay zekası
- Plato Veri Zekası
- Plato Oyunu
- PlatoVeri
- plato oyunu
- fidye
- VPN
- web sitesi güvenliği
- zefirnet
