Кампаниите за хакерство на национални държави биха могли да се маскират като обикновени престъпници, извършващи атаки с ransomware - но целта им би била чисто унищожение, а не изнудване на биткойни, предупреждава нов доклад.
Все по-разрушителните възможности на атаките с ransomware могат да осигурят хакерски операции на национална държава със средства за атакуване на инфраструктура – и способността правдоподобно да отрича всякакъв вид участие в кампании.
За киберпрестъпниците, ransomware е свързано само с правенето на пари и за да постигнат тази цел, те се стремят да получат достъп до възможно най-много компютри и сървъри, преди да разположат своя рансъмуер. След това те искат плащане на откуп в замяна на ключа за дешифриране. За съжаление, тези кампании за изнудване се оказват успешни, защото киберпрестъпниците могат да направят стотици хиляди долари наведнъж, ако целевата организация реши да плати.
поверителност
- Как да се изтриете от резултатите от търсене в интернет и да скриете самоличността си онлайн
- Най-добрите браузъри за поверителност
- Смартфонът на Samsung „Repair Mode“ не позволява на техниците да преглеждат вашите снимки
- Безопасни ли са приложенията за проследяване на цикъл?
Някои варианти на ransomware, като LockerGoga и Ryuk, имат толкова мощно криптиране, че мрежата може ефективно да бъде направена безполезна, ако дадена организация стане жертва на атака.
Следователно е възможно подкрепяните от националната държава хакерски кампании с цел чисто унищожение да се обърнат към ransomware като атакуващ инструмент в сферата на кибервойната, според нов доклад на изследователи от Cybersecurity доставчик Dragos.
ВИЖ: Киберсигурност: Нека да тактически(Специална характеристика на ZDNet/TechRepublic) | Изтеглете безплатната PDF версия(TechRepublic)
Предимството на подкрепяните от държавата хакерски операции е, че те могат да се маскират като киберпрестъпници, които твърдят, че искат откуп с вариант на известен ransomware, като никога не е имал намерение да прави пари от схемата, а по-скоро да го използва за чиста унищожаване.
И тъй като атаките могат да използват модифицирани варианти на рансъмуер, често използван от киберпрестъпниците, създава възможност истинският виновник за нападението и мотивите зад него да останат завинаги скрит.
„Комбинацията от модификация на съществуващ рансъмуер, повишени въздействия на смущения от такъв злонамерен софтуер и спецификация за насочване и време, предоставя план за това как държавно насочен противник може да използва престъпни инструменти за извършване на отречени, но ефективни, разрушителни операции“, каза Джо Словик, главен ловец на противник в Dragos и автор на на LockerGoga Прегледан доклад, която разглежда атаката срещу ransomware срещу норвежкия производител на алуминий Norsk Hydro през март миналата година.
LockerGoga направиха хаос със системите на Norsk Hydro, като криптирането в цялата мрежа принуди много автоматизирани операции да стават ръчни и спират или забавят почти цялата продукция на норвежката фирма, докато мрежата бъде възстановена резервни копия.
Не е извършено плащане на хакерите зад атаката с рансъмуер – и компанията получи много похвали заради това колко открита и прозрачна беше относно инцидента и последиците от него.
Въпреки това, дори ако организацията беше отишла срещу съветите на правоприлагащите органи и реши да плати откупа, може дори да не е било възможно, защото изследователите предлагат начина, по който бележката за откупа беше разгърнат в края на процеса на атака, което означаваше, че дори самото му разглеждане изискваше криминалистично изобразяване на засегнатия машини.
„Въпреки че прегледът на информацията за откупа със сигурност е възможен, подобни елементи изглеждат любопитни и контрапродуктивни за ефективна монетизация“, каза Slowik.
Вече има редица хакерски кампании, проведени с цел унищожаване през последните няколко години – включително подобни на Stuxnet и Шамун кампании – но чрез внедряване на модифицирани форми на рансъмуер, често използван от киберпрестъпниците, било то LockerGoga, Ryuk, Revil или нещо друго, може лесно да се използва за скриване на всяко потенциално приписване при нарушаване на системите.
по същия начин атаката с рансъмуер NotPetya от 2016 г – ефективно изчистваше зловреден софтуер, маскиран като рансъмуер.
„NotPetya може да е послужил като първоначален пример за такава дейност, а комбинация от лошо внедрено криптиране функционалността и прекалено ревностното разпространение направиха това събитие сравнително лесно да се припише на корените му в държавата", каза Slowik.
ВИЖ: ФБР: Измамите на BEC представляват половината от загубите от киберпрестъпления през 2019 г
Следователно е много вероятно хакерски операции, подкрепяни от националната държава, да проучват как могат да използват разрушителни ransomware атаки в тяхна собствена полза, когато става въпрос за прекъсване на инфраструктурата на съперник държави.
„Злонамерените управлявани от държавата субекти вече имат нова и ценна опция за бъдещи разрушителни операции“, обясни Slowik. „Комбинацията от ефикасност, възможност за отричане и специфичност позволява селективно и контролирано насочване към обекти за прекъсване и ефективно унищожаване, базирано на ИТ“.
Един от начините, по които организациите могат да се опитат да се защитят от рансъмуер атаки, е като гарантират, че всички операционни системи и софтуер в мрежата са били обработен с най-новите актуализации за сигурност, като по този начин предотвратява киберпрестъпниците от използване на известни уязвимости за да получите достъп до мрежата и да премахнете ransomware.
Организациите също трябва редовно да архивират мрежата – и съхранявайте тези резервни копия офлайн – така че ако се случи най-лошото, бизнесът да може да възстанови мрежата, без да се поддава на исканията на злонамерени хакери.
ПОВЕЧЕ ЗА КИБЕРСИГУРНОСТТА
- Ransomware: Подгответе се за хакери, които стартират още по-разрушителни атаки на зловреден софтуер
- Кметовете на САЩ решават да не плащат на хакери за атаки с ransomware CNET
- Ransomware атаките вече са насочени към индустриални системи за контрол
- Рансъмуер атаките срещу бизнеса са се увеличили с 365% тази година TechRepublic
- 30 години рансъмуер: Как една странна атака положи основите на зловредния софтуер, превзел света