ネット管理者

WastedLocker ランサムウェアとは何ですか?それから保護する方法は何ですか?

WastedLocker ランサムウェアとは何か、およびそれから保護する方法



ほとんどのランサムウェアと同様、WastedLocker は実行中のコンピュータを攻撃します ウィンドウズ 。ただし、WastedLocker は大物ハンターです

大企業を攻撃し、巨額の身代金を要求する。多くのランサムウェア攻撃は数百ドルを要求しますが、WastedLocker は要求します 何百万ドルも



WastedLocker の背後にあるハッカー グループは非常によく組織されています。今世紀初頭以来、チームは活動を続け、1億ドル以上の収益を上げています。

WastedLocker ランサムウェアの背後にいるのは誰ですか?

WastedLocker は次の製品です。 イービル・コープ とも呼ばれます。 インドリク・スパイダー 。これはロシアのハッカーグループで、最初の成功を収めました。 ゼウス 、バンキング型トロイの木馬。このグループの最も有名な製品は ドリデックス 、多額の利益をもたらしたバンキング型トロイの木馬。 Dridex は 2011 年から 2020 年まで活動し、Zeus の強化版として開発されました。



Evil Corp グループを率いるのは、 マキシム・ヤクベツ そして イーゴリ・トゥラシェフ 。 2019年12月、米国財務省外国資産管理局(OFAC)はこの二人に逮捕状を発行した。さらに、逮捕につながる情報に対して500万ドルの懸賞金を掛けた。しかし、残念ながら彼らはまだ逮捕されていません。

米国当局が Evil Corp に関心を寄せている主な理由は、Dridex であって、 WastedLocker ランサムウェア 。しかし、米国の治安機関の深刻な注目により、Evil Corpはそのすべての活動を再評価することを余儀なくされ、グループは2020年初頭まで一時的に沈黙を保った。

WastedLocker ランサムウェアのソース

Evil Corp は、2017 年に初めてランサムウェアを開発しました。 ビットペイマー暗号化 。これは「」でした 大物ハンター 」ということは、大企業を狙って多額の身代金を要求したということだ。 Bitpaymer は、WastedLocker ランサムウェアの前身です。

Bitpaymer は 2017 年に開始されました。 病院 イギリスで。その後、攻撃は大型の攻撃に集中しました。 米国企業 。ランサムウェアの配信メカニズムは Dridex モジュールに基づいていました。

2019 年、Evil Corp は、Bitpaymer と呼ばれる亜種を作成しました。 ドッペルペイマーサービスとしてのランサムウェア システム。 RaaS を使用すると、他のハッカーにコードへのアクセスを許可せずに、有料でランサムウェア システムを使用することができます。

2020年5月にグループを発足 無駄なロッカー Bitpaymer の代替として。新しいランサムウェアは、Bitpaymer と手順の類似点がいくつかありますが、コードは完全に異なります。

WastedLocker 攻撃は、 高度にカスタマイズされた 。このグループは、ネットワークに侵入するために広範な調査を行うだけでなく、攻撃ごとに異なるモジュールとターゲットを絞った身代金メモを作成します。グループは、攻撃が発生したときに攻撃を調整することもできます。場合によっては、ネットワーク管理者が WastedLocker ドロッパーを見つけて削除することができ、その結果、グループがよりステルスな代替を手動でドロップするようになりました。

WastedLocker 攻撃の始まり

WastedLocker ランサムウェアのターゲットのほとんどは米国の大企業です。被害者は見る ポップアップ ブラウザを更新するよう勧める特定のサイトにアクセスしたとき。ポップアップを押すと、zip ファイルがダウンロードされます。このファイルには、という JavaScript モジュールが含まれています。 ソックゴリッシュ

ポップアップが表示される Web サイトは Evil Corp の所有物ではありません。むしろ、それらは正当な組織によって所有および運営されており、Evil Corp グループはこれらの Web サイトに感染することに成功しました。 ニュースサイト 定期的にこの感染症の標的となっています。

このモジュールは、PowerShell スクリプトをインストールして実行します。 コバルトストライク 裏口。これによりハッカーが侵入し、手動と自動の両方の方法を使用して攻撃を進めます。

WastedLocker ランサムウェア攻撃では何が起こるのでしょうか?

ハッカーの開始点は、Cobalt Strike バックドアがインストールされたシステム上のエンドポイントです。ハッカーは経験とシステム スキャン サービスのツールキットを使用して、次のプロファイルを構築します。 ユーザーアカウント エンドポイント上での接続と、ネットワーク上の他のエンドポイントへの接続を行います。ハッカーも調査するだろう バックアップ ファイルを処理してドロップし、ファイルをバックアップ サーバーにアップロードしてランサムウェア感染を引き起こします。

現時点では、活動はより次のような方向に進んでいます。 高度な持続的脅威 ランサムウェア攻撃よりも。ツールには、認証情報を取得し、アクセスされたデバイス上のユーザー アカウントにアクセスするためのシステムが含まれています。 リモートアクセス ハッカーがユーザーの ID を取得し、組織内の他のユーザーと通信できるようにするシステム。

攻撃の偵察段階では、ハッカーがネットワーク上を移動して、感染ターゲットとなる主要なファイル ストアやデータベース サーバーを見つけることができます。チームリーダーがそれで十分だと満足したら、 高価値のターゲット が取得されると、WastedLocker ランサムウェアがアクティブになります。

WastedLocker 暗号化

ランサムウェアは、暗号化を開始する前にいくつかのタスクを実行します。すべて削除します シャドウコピー 自動保存機能によって生成された作業ドキュメントの数。また、Windows Defender を無効にし、アカウントのアクセス権を管理者に昇格させ、暗号化プロセスをサービスとしてインストールします。

システムはファイルごとに異なる暗号化キーを生成します。これは AES 256 ビット鍵を使用した暗号。これらのキーはファイルにリストされ、4096 ビットで暗号化されます。 RSA 暗号。これは 公開鍵 、ファイルを暗号化しました。 RSA は別のキーを使用して復号化します。これは暗号化キーから導き出すことはできません。したがって、被害者にとって公開鍵を知っても役に立ちません。ただし、復号化プロセスの参照コードとして使用することはできます。 RSA キー ペアはオフサイトで生成されているようで、公開キーはターゲット システムに送信され、秘密キーは支払い後の配信のために Evil Corp サーバーに保持されます。

WastedLocker はシステム ファイルや実行可能ファイルを暗号化しないため、コンピュータは暗号化されません。 まだ稼働中 。ただし、ドキュメント、スプレッドシート、画像、ビデオ、オーディオ ファイルなどの作業ファイルは暗号化されます。また、データベース ストレージ ファイルも暗号化されます。 WastedLocker は、コンピュータをアルファベット順に処理したり、最初に接続したコンピュータから作業を開始したりするのではなく、最も重要なデータ ストアを特定し、そのデータ ストアと思われるデータ ストアから開始します。 最高値 ディレクトリ。

各ファイルは暗号化されたバージョンで上書きされます。ファイル名には追加の拡張子が追加されます。これは対象となる企業の名前であり、 無駄にした たとえば、NewWorks, Inc. という会社のコンピュータ上にある Expenses.docx というファイルは、最終的に Expenses.docx.newworkswasted という名前になります。暗号化プロセスでは、 身代金メモ 暗号化されたファイルごとに。メモのテキストはどの場合でも同じであるため、いずれか 1 つだけを開く必要があります。これはテキスト ファイルであり、暗号化されたファイルと同じ名前ですが、_info が付いています。したがって、この例の場合、関連する身代金メモは Expenses.docx.newworkswasted_info になります。

身代金メモの形式は次のとおりです。

あなたのネットワークは現在暗号化されています

使用|データの価格を取得するには

このメールを第三者に渡さないでください

ファイルの名前を変更したり移動したりしないでください

ファイルは次のキーで暗号化されています:

[開始キー][エンドキー]

そのままにしておいてください

連絡に使用される電子メール アドレスは 1 回の攻撃にのみ使用されます。これらは常に次のドメイン上にあります。

  • プロトンメール.CH
  • エアメール.CC
  • ECLIPSO.CH
  • ツタノタ.COM
  • プロトンメール.COM

攻撃により、被害者のシステム上のアクセス可能なターゲット ファイルがすべて暗号化されると、ランサムウェア プロセスは終了します。ファイルの削除やブートプロセスへの感染など、他の攻撃戦略を続行することはありません。攻撃後に作成された新しいファイルは暗号化されません。

WastedLocker 攻撃からの回復

がある とんでもない WastedLocker ランサムウェア攻撃中に暗号化されたファイルを、身代金を支払わずに復号化します。ファイルを変換する AES 暗号化は解読不可能であり、AES キーのリストを保護する RSA 暗号化も解読できません。復号化サービスを提供するサイバーセキュリティ コンサルタント会社はありません。

料金を支払わずに攻撃から回復する最善の方法は、次のことを確実にすることです。 バックアップ すべての重要なファイルを削除し、バックアップ プロセスとストアがすべて非常によく保護されていることを確認します。 Evil Corp グループは手動探索を使用し、すべての重要なデータ ストアを取得するのに必要な限りシステム内を移動するため、通常、これらのバックアップ場所も暗号化されます。

WastedLocker の身代金要求額は 50 万ドルから 1,000 万ドルの範囲です。これまでで最も有名な攻撃は、2020 年 10 月に米国のテクノロジー企業 Garner に対するものでした。同社は 1,000 万ドルを要求されました。会社がその全額を支払ったかどうかは誰にもわかりません。ただし、復号キーを入手したため、料金を支払いました。つまり、Evil Corpグループは次の準備をしているようです 交渉する

WastedLocker ランサムウェアからの防御

良いニュースは、WastedLocker が もう活動していない 。しかし、その後継者は、 ハデス、 流通している。これは WastedLocker に非常に似ていますが、追加の難読化機能がいくつかあります。 無駄ロッカー II

最良の防御は、影響を受けやすく機密性の高いインテリジェントなサイバーセキュリティにあります。 データ 、その使用と保護に関して追加の規制があります。 WastedLocker ランサムウェアに対する適切な防御を提供する 3 つのサイバーセキュリティ パッケージを紹介します。

1. CrowdStrike Falcon Insight (無料トライアル)

クラウドストライク ファルコン インサイト

クラウドストライク ファルコン インサイト エンドポイントの検出と応答 (EDR) パッケージです。これには、企業全体の保護を作成するための調整モジュールが含まれています。エンドポイント エージェントは Windows、macOS、Linux にインストールされ、オーバーシーアはクラウドベースのサービスです。

デバイス保護とシステム監視を組み合わせることで、WastedLocker や Hades などのランサムウェア システムに対する優れた防御策となります。オンサイトモジュールは以下を使用します 異常検出 これにより、真新しいマルウェアや、正規のユーザー アカウントによって実行された一見本物と思われるアクティビティを検出できるようになります。 EDR は、不審なアクティビティを検出した場合、デバイスを隔離します。マルウェア ファイルを削除したり、プロセスを強制終了したりすることもできます。エンドポイント保護システムは完全に自律型であり、個別に購入できます。として販売されています CrowdStrike Falcon Prevent

クラウドベースのモジュールは、 脅威ハンター これは、エンドポイント エージェントからのアクティビティ ログのアップロードに依存します。これは取得します 脅威インテリジェンス フィード CrowdStrike がデータ検索戦略を更新しました。コーディネーターは、データ内で特定されたか、エンドポイントから通知されたかにかかわらず、検出された脅威をすべてのエンドポイントに通知します。

を得ることができます15日間の無料トライアルファルコンプリベントの。

Falcon Prevent 15 日間の無料トライアルを開始する

二。 ManageEngine DataSecurity Plus

ManageEngine DataSecurity Plus

ManageEngine DataSecurity Plus HIPAA、PCI DSS などに準拠する必要がある企業向けに設計された機密データ プロテクターです。 データプライバシー基準

このシステムには、機密データ ストアを特定し、そこに保持されているデータの種類を分類する電子情報開示モジュールが含まれています。これにより、それらの場所のセキュリティ対策を強化できます。さらに、DataSecurity Plus の防御システムは、 ファイル整合性モニター (FIM)。これにより、暗号化アクションが即座に特定され、ブロックされます。

システムは、機密データ ストアにアクセスしようとするプロセスを検査し、その意図を測定します。次に、パッケージはプロセスを強制終了し、侵害されたユーザー アカウントを一時停止することで、悪意のあるアクティビティをブロックします。

DataSecurity Plus は、次の場所にインストールされるオンプレミスのソフトウェア パッケージです。 Windowsサーバー 。利用可能です 30日間の無料トライアル

3. BitDefender GravityZone

Bitdefender GravityZone

BitDefender GravityZone は、WastedLocker と Hades から保護するために組み合わせて非常にうまく機能するサイバー防御システムのバンドルです。最も重要な防御はその管理です バックアップ サービス。

GravityZone の実装 マルウェアスキャン システムのいくつかのポイントで。エンドポイントとそこにダウンロードされたすべてのファイルをスキャンします。また、システムはバックアップ ストアへのアクセスを保護し、バックアップ ストアを有効にする前にすべてのファイルをスキャンします。これには、手動でコマンドを実行した転送も含まれます。

GravityZone パッケージには、 脆弱性スキャナー そして パッチマネージャー 攻撃対象領域を減らすために。最後の手段としてファイル整合性モニターもあります。 GravityZone は自動応答を実装します。不審なアクティビティを発見するとすぐにデバイスを隔離できます。これにより、WastedLocker と Hades が引き起こす可能性のある潜在的な損害が制限されます。

BitDefender GravityZone は、仮想アプライアンスとして実行されるソフトウェア パッケージです。利用可能です 1か月の無料トライアル

^