Pada 12 Mei, ahli Kaspersky Lab
menerbitkan laporan besar tentang evolusi serangan dengan enkripsi data dan pemerasan berikutnya. Artikel ini terutama berfokus pada organisasi bisnis kriminal ini dan membahas serangan terhadap perusahaan besar. Salah satu tren yang jelas tahun ini adalah perburuan "permainan besar" oleh geng kriminal - organisasi yang relatif besar yang mampu membayar uang tebusan yang serius dalam mata uang digital. Laporan itu muncul di tengah berita harian tentang serangan terhadap bisnis, termasuk peristiwa penting seperti serangan terhadap perusahaan Colonial Pipeline.
Hal terpenting yang perlu diketahui tentang kelompok semacam itu adalah bahwa mereka kompleks dan tidak bekerja secara mandiri. Ancaman ini tidak dapat dihilangkan, bahkan jika penyelenggara kampanye terpisah ditemukan dan ditangkap. Ekosistem akan berhenti berfungsi hanya jika kehilangan pendapatannya, yaitu ketika orang-orang yang terkena dampak berhenti membayar uang tebusan. Studi ini memberikan contoh perekrutan organisasi baru dan mengidentifikasi peran tipikal: vendor kredensial, pengembang malware, analis yang bertanggung jawab atas pencucian mata uang kripto.
Mitos paling relevan, yang dibantah dalam artikel tersebut, adalah pernyataan bahwa target serangan telah dipilih sebelumnya. Faktanya, mereka ditemukan secara acak. Paling sering, pemilik botnet dan broker yang menjual akses ke komputer dan server yang disusupi memposting informasi tentang calon korban, dan sasarannya ditentukan "berdasarkan ketersediaan". Ada rekomendasi penting bagi profesional keamanan TI di sini: Anda perlu mendeteksi secara tepat waktu insiden individu terkait penetrasi ke perimeter yang dilindungi atau infeksi malware. Mungkin ada jeda waktu antara panggilan pertama ini dan serangan skala penuh untuk menghindari konsekuensi serius.
Studi tersebut merinci aktivitas dua kelompok ransomware besar, REvil dan Babuk. Antara lain, adanya tekanan yang lebih agresif terhadap calon korban, sehingga memotivasi mereka untuk membayar tebusan lebih cepat. Untuk tujuan ini, situs web dengan contoh data yang dicuri dibuat di darknet, dan informasi tentang kebocoran "bocor" di media. Sebaliknya, dukungan korban ditingkatkan untuk memfasilitasi "pengalaman pelanggan" - misalnya, obrolan terpisah dibuat untuk berkomunikasi dengan ransomware. Dalam publikasi sebelumnya oleh para ahli Kaspersky Lab tentang topik ransomware "khusus", tercatat penurunan jumlah serangan skala besar. Laporan baru menunjukkan di mana perhatian penjahat dunia maya telah bergeser dan merinci transformasi operasi kriminal menjadi bisnis yang kompleks dan bercabang.
Apa lagi yang terjadi
Serangan terhadap operator Saluran Pipa Kolonial di Amerika Serikat mengakibatkan gangguan singkat dalam pasokan produk minyak di pantai timur negara itu, memicu kepanikan di pompa bensin dan kemungkinan akan mengarah pada perubahan lebih lanjut dalam langkah-langkah untuk memerangi kejahatan dunia maya. Ada banyak publikasi tentang serangan ini minggu lalu, tetapi tidak semua informasi dapat dikonfirmasi. Berikut artikel yang paling menarik:
- Analisis faksi DarkSide yang mengklaim bertanggung jawab atas serangan dari Brian Krebs. Sebelumnya di Twitter, dia bercanda atau serius menunjukkan fakta yang jelas tentang program enkripsi berbahaya dengan root berbahasa Rusia: mereka menghindari sistem dengan tata letak Sirilik.
Pelokalan juga dicatat dalam laporan Lab Kaspersky, tetapi dalam konteks yang berbeda: penyelenggara serangan yang berbahasa Rusia mencoba untuk tidak bekerja dengan mitra berbahasa Inggris, takut akan serangan balik atau kebocoran informasi. Untuk tes kemampuan bahasa, salah satu contoh menyarankan penggunaan cerita rakyat lokal.
- Analisis fitur teknis malware yang digunakan oleh DarkSide dalam serangan sebelumnya.
- Secara resmi belum dikonfirmasi informasi sesuai dengan yang Colonial Pipeline membayar pemeras $ 5 juta. Ia mengklaim bahwa penyelenggara serangan kehilangan akses ke infrastruktur mereka, serta ke dompet crypto.
- Analisis pergerakan dana di dompet Bitcoin, mungkin milik DarkSide.
Selain insiden ini, "IB-life" berlangsung seperti biasa. Acara besarnya adalah studi tentang kerentanan di perangkat dan protokol Wi-Fi itu sendiri. Kumpulan serangan Fragattacks ( situs proyek, diskusi tentang Habré) mengeksploitasi kerentanan yang tidak bergantung pada jenis enkripsi (hingga WPA3), dan dapat digunakan untuk mencuri data atau mengarahkan pengguna ke sumber daya berbahaya.
Peneliti Swedia Pontus Johnson menemukan kerentanan dalam konsep mesin Turing universal , yang diusulkan pada tahun 1967 ( artikel The Register, makalah penelitian ). Dalam latihan teoretis murni ini, ditemukan cara untuk menjalankan kode arbitrer. Alasan: Kurangnya validasi input.
Sebuah metode untuk mentransfer data sewenang-wenang dan menerima informasi dari perangkat berbasis iOS dan MacOS diusulkan . Kerentanan protokol Bluetooth dan fitur teknologi Find My digunakan untuk menemukan perangkat yang hilang.
MSI memperingatkan situs palsu yang mendistribusikan malware dengan kedok utilitas overclocking Afterburner yang populer.