Πώς οι ειδικοί σε θέματα ασφάλειας ξετυλίγουν το ransomware


gnews




Τεχνολογία


Πώς οι ειδικοί σε θέματα ασφάλειας ξετυλίγουν το ransomware



By

Marizas Dimitris



Οι χάκερ χρησιμοποιούν ransomware για να κυνηγήσουν κάθε κλάδο,


για να επιστρέψετε την πρόσβαση στα αρχεία ενός θύματος. Είναι μια προσοδοφόρα επιχείρηση.

υς πρώτους έξι μήνες του 2023, συμμορίες ransomware


παρόλο που οι περισσότερες κυβερνήσεις


. Όλο και περισσότερο, οι επαγγελματίες ασφαλείας συνέρχονται με τις αρχές επιβολής του νόμου για να παρέχουν δωρεάν εργαλεία αποκρυπτογράφησης — απελευθερώνοντας κλειδωμένα αρχεία και εξαλείφοντας τον πειρασμό των θυμάτων να κάνουν πόνυ.

Υπάρχουν δύο βασικοί τρόποι με τους οποίους οι αποκρυπτογραφητές ransomware βρίσκουν εργαλεία: αντίστροφη μηχανική για λάθη, συνεργασία με τις αρχές επιβολής του νόμου και συλλογή δημόσια διαθέσιμων κλειδιών κρυπτογράφησης. Η διάρκεια της διαδικασίας ποικίλλει ανάλογα με το πόσο περίπλοκος είναι ο κώδικας, αλλά συνήθως απαιτεί πληροφορίες για τα κρυπτογραφημένα αρχεία, μη κρυπτογραφημένες εκδόσεις των αρχείων και πληροφορίες διακομιστή από την ομάδα hacking. «Το να έχεις μόνο το κρυπτογραφημένο αρχείο εξόδου είναι συνήθως άχρηστο. Χρειάζεστε το ίδιο το δείγμα, το εκτελέσιμο αρχείο», δήλωσε ο Jakub Kroustek, διευθυντής έρευνας για κακόβουλο λογισμικό στην επιχείρηση προστασίας από ιούς Avast. Δεν είναι εύκολο, αλλά αποδίδει μερίσματα στα θύματα που επηρεάζονται όταν λειτουργεί.

Αρχικά, πρέπει να καταλάβουμε πώς λειτουργεί η κρυπτογράφηση. Για ένα πολύ βασικό παράδειγμα, ας υποθέσουμε ότι ένα κομμάτι δεδομένων μπορεί να έχει ξεκινήσει ως μια γνωστή πρόταση, αλλά εμφανίζεται σαν “J qsfgfs dbut up epht” μόλις κρυπτογραφηθεί. Εάν γνωρίζουμε ότι μία από τις μη κρυπτογραφημένες λέξεις στο “J qsfgfs dbut up epht” υποτίθεται ότι είναι “cats”, μπορούμε να αρχίσουμε να προσδιορίζουμε ποιο μοτίβο εφαρμόστηκε στο αρχικό κείμενο για να λάβουμε το κρυπτογραφημένο αποτέλεσμα. Σε αυτήν την περίπτωση, είναι απλώς το τυπικό αγγλικό

με κάθε γράμμα να μετακινείται προς τα εμπρός ένα σημείο: το Α γίνεται Β, το Β γίνεται Γ και το “Προτιμώ τις γάτες από τα σκυλιά” γίνεται η σειρά των ανοησίας παραπάνω. Είναι πολύ πιο περίπλοκο για τα είδη κρυπτογράφησης που χρησιμοποιούνται από συμμορίες ransomware, αλλά η αρχή παραμένει η ίδια. Το μοτίβο της κρυπτογράφησης είναι επίσης γνωστό ως «κλειδί» και συνάγοντας το κλειδί, οι ερευνητές μπορούν να δημιουργήσουν ένα εργαλείο που μπορεί να αποκρυπτογραφήσει τα αρχεία.

Ορισμένες μορφές κρυπτογράφησης, όπως το Advanced Encryption Standard των κλειδιών 128, 192 ή 256 bit, είναι σχεδόν άθραυστα. Στο πιο προηγμένο επίπεδό του, κομμάτια μη κρυπτογραφημένων δεδομένων «απλού κειμένου», χωρισμένα σε κομμάτια που ονομάζονται «μπλοκ», τοποθετούνται σε 14 γύρους μετασχηματισμού και στη συνέχεια εξάγονται στην κρυπτογραφημένη — ή «κρυπτογραφημένο κείμενο» — μορφή τους. «Δεν έχουμε ακόμη την τεχνολογία κβαντικών υπολογιστών που μπορεί να σπάσει την τεχνολογία κρυπτογράφησης», δήλωσε ο Jon Clay, αντιπρόεδρος της υπηρεσίας πληροφοριών απειλών στην εταιρεία λογισμικού ασφαλείας Trend Micro. Αλλά ευτυχώς για τα θύματα, οι χάκερ δεν χρησιμοποιούν πάντα ισχυρές μεθόδους όπως το AES για την κρυπτογράφηση αρχείων.

Ενώ ορισμένα κρυπτογραφικά σχήματα είναι σχεδόν αδύναμα


, και οι άπειροι χάκερ πιθανότατα θα κάνουν λάθη. Εάν οι χάκερ δεν εφαρμόσουν ένα τυπικό σχήμα, όπως το AES, και αντ’ αυτού επιλέξουν να δημιουργήσουν το δικό τους, οι ερευνητές μπορούν στη συνέχεια να ψάξουν για λάθη. Γιατί να το κάνουν αυτό; Κυρίως εγώ. «Θέλουν να κάνουν κάτι μόνοι τους επειδή τους αρέσει ή πιστεύουν ότι είναι καλύτερο για λόγους ταχύτητας», δήλωσε ο Jornt van der Wiel, ερευνητής κυβερνοασφάλειας στην Kaspersky.

Για παράδειγμα, δείτε πώς η Kaspersky αποκρυπτογράφησε το


στέλεχος ransomware. Ήταν ένα στοχευμένο στέλεχος που στόχευε σε συγκεκριμένες εταιρείες, με άγνωστη λίστα θυμάτων. Ο Yanluowang χρησιμοποίησε τον κρυπτογράφηση

Sosemanuk για την κρυπτογράφηση δεδομένων: μια διαδικασία δωρεάν για χρήση που κρυπτογραφεί το αρχείο απλού κειμένου ένα ψηφίο τη φορά. Στη συνέχεια, κρυπτογραφούσε το κλειδί χρησιμοποιώντας έναν αλγόριθμο RSA, έναν άλλο τύπο προτύπου κρυπτογράφησης. Υπήρχε όμως ένα ελάττωμα στο μοτίβο. Οι ερευνητές μπόρεσαν να συγκρίνουν το απλό κείμενο με την κρυπτογραφημένη έκδοση, όπως εξηγήθηκε παραπάνω, και να κατασκευάσουν ένα εργαλείο αποκρυπτογράφησης


. Στην πραγματικότητα, υπάρχουν τόνοι που έχουν


.

Οι αποκρυπτογραφητές ransomware θα χρησιμοποιήσουν τις γνώσεις τους στη μηχανική λογισμικού και την κρυπτογραφία για να λάβουν το κλειδί ransomware και, από εκεί, να δημιουργήσουν ένα εργαλείο αποκρυπτογράφησης, σύμφωνα με τον Kroustek. Οι πιο προηγμένες κρυπτογραφικές διεργασίες ενδέχεται να απαιτούν είτε ωμή εξαναγκασμό είτε να κάνουν μορφωμένες εικασίες με βάση τις διαθέσιμες πληροφορίες. Μερικές φορές οι χάκερ χρησιμοποιούν μια γεννήτρια ψευδοτυχαίων αριθμών για να δημιουργήσουν το κλειδί. Ένα πραγματικό RNG θα είναι τυχαίο, αλλά αυτό σημαίνει ότι δεν θα προβλεφθεί εύκολα. Ένα ψευδο-RNG, όπως εξηγεί ο van der Wiel, μπορεί να βασίζεται σε ένα υπάρχον μοτίβο για να εμφανίζεται τυχαίο ενώ στην πραγματικότητα

— το μοτίβο μπορεί να βασίζεται στη στιγμή που δημιουργήθηκε, για παράδειγμα. Εάν οι ερευνητές γνωρίζουν ένα μέρος αυτού, μπορούν να δοκιμάσουν διαφορετικές τιμές χρόνου μέχρι να συμπεράνουν το κλειδί.

Αλλά η απόκτηση αυτού του κλειδιού συχνά βασίζεται στη συνεργασία με τις αρχές επιβολής του νόμου για να λάβετε περισσότερες πληροφορίες σχετικά με τον τρόπο λειτουργίας των ομάδων πειρατείας. Εάν οι ερευνητές καταφέρουν να λάβουν τη διεύθυνση IP του χάκερ, μπορούν να ζητήσουν από την τοπική αστυνομία να κατασχέσει τους διακομιστές και να λάβουν απόθεμα μνήμης του περιεχομένου τους. Ή, εάν οι χάκερ έχουν χρησιμοποιήσει έναν διακομιστή μεσολάβησης για να κρύψουν την τοποθεσία τους, η αστυνομία μπορεί να χρησιμοποιήσει αναλυτές κυκλοφορίας όπως το NetFlow για να προσδιορίσει πού πηγαίνει η κίνηση και να λάβει τις πληροφορίες από εκεί, σύμφωνα με τον van der Wiel. ο


το καθιστά δυνατό πέρα ​​από τα διεθνή σύνορα, επειδή επιτρέπει στην αστυνομία να ζητά επειγόντως μια εικόνα ενός διακομιστή σε άλλη χώρα, ενώ περιμένει να ολοκληρωθεί το επίσημο αίτημα.

Ο διακομιστής παρέχει πληροφορίες σχετικά με τις δραστηριότητες του χάκερ, όπως ποιους μπορεί να στοχεύουν ή τη διαδικασία εκβίασης λύτρων. Αυτό μπορεί να πει στους αποκρυπτογραφητές ransomware τη διαδικασία στην οποία πέρασαν οι χάκερ για να κρυπτογραφήσουν τα δεδομένα, λεπτομέρειες σχετικά με το κλειδί κρυπτογράφησης ή πρόσβαση σε αρχεία που μπορούν να τους βοηθήσουν να αντιστρέψουν τη διαδικασία. Οι ερευνητές χτενίζουν τα αρχεία καταγραφής του διακομιστή για λεπτομέρειες με τον ίδιο τρόπο που μπορείτε να βοηθήσετε τον φίλο σας να ανακαλύψει λεπτομέρειες για την ημερομηνία του Tinder για να βεβαιωθεί ότι είναι νόμιμες, αναζητώντας ενδείξεις ή λεπτομέρειες σχετικά με κακόβουλα μοτίβα που μπορούν να βοηθήσουν στον εντοπισμό αληθινών προθέσεων. Οι ερευνητές μπορεί, για παράδειγμα, να ανακαλύψουν μέρος του αρχείου απλού κειμένου για να το συγκρίνουν με το κρυπτογραφημένο αρχείο για να ξεκινήσουν τη διαδικασία αντίστροφης μηχανικής του κλειδιού ή ίσως βρουν τμήματα του ψευδο-RNG που μπορούν να αρχίσουν να εξηγούν το μοτίβο κρυπτογράφησης.

Δουλεύοντας με


δημιουργήστε ένα εργαλείο αποκρυπτογράφησης για το ransomware Babuk Tortilla. Αυτή η έκδοση του ransomware στόχευε την υγειονομική περίθαλψη, την κατασκευή και την εθνική υποδομή, κρυπτογραφώντας τις συσκευές των θυμάτων και διαγράφοντας πολύτιμα αντίγραφα ασφαλείας. Η Avast είχε ήδη δημιουργήσει έναν γενικό αποκρυπτογραφητή Babuk, αλλά το στέλεχος Tortilla αποδείχθηκε δύσκολο να σπάσει. Η ολλανδική αστυνομία και η Cisco Talos συνεργάστηκαν για να συλλάβουν το άτομο πίσω από το στέλεχος και απέκτησαν πρόσβαση στον αποκρυπτογραφητή Tortilla στη διαδικασία.

Αλλά συχνά ο ευκολότερος τρόπος για να βρείτε αυτά τα εργαλεία αποκρυπτογράφησης προέρχεται από τις ίδιες τις συμμορίες ransomware. Ίσως αποσύρονται ή απλώς νιώθουν γενναιόδωροι, αλλά οι επιτιθέμενοι μερικές φορές το κάνουν


. Οι ειδικοί ασφαλείας μπορούν στη συνέχεια να χρησιμοποιήσουν το κλειδί για να δημιουργήσουν ένα εργαλείο αποκρυπτογράφησης και να το απελευθερώσουν για να το χρησιμοποιήσουν τα θύματα στο

.

Γενικά, οι εμπειρογνώμονες δεν μπορούν να μοιραστούν πολλά για τη διαδικασία χωρίς να δώσουν ώθηση στις συμμορίες ransomware. Εάν αποκαλύπτουν κοινά λάθη, οι χάκερ μπορούν να το χρησιμοποιήσουν για να βελτιώσουν εύκολα τις επόμενες προσπάθειές τους για ransomware. Εάν οι ερευνητές μας πουν σε ποια κρυπτογραφημένα αρχεία εργάζονται τώρα, οι συμμορίες θα ξέρουν ότι τους έχουν πρόσβαση. Αλλά ο καλύτερος τρόπος για να αποφύγετε την πληρωμή είναι να είστε προληπτικοί. “Εάν έχετε κάνει καλή δουλειά με τη δημιουργία αντιγράφων ασφαλείας των δεδομένων σας, έχετε πολύ περισσότερες ευκαιρίες να μην χρειαστεί να πληρώσετε”, είπε ο Clay.


VIA:

engadget.com


Follow TechWar.gr on Google News






author_name|Katie Malone


hacking


Kaspersky


language|en-US


Personal Finance – Career & Education


Personal Investing Ideas & Strategies


provider_name|Engadget


ransomware


region|US


site|engadget






Marizas Dimitris



107890 posts


12 comments

Αφοσιωμένος λάτρης κινητών Samsung, ο Δημήτρης έχει εξελίξει μια ιδιαίτερη σχέση με τα προϊόντα της εταιρίας, εκτιμώντας τον σχεδιασμό, την απόδοση και την καινοτομία που προσφέρουν.

Γράφοντας και διαβάζοντας τεχνολογικά νέα από όλο τον κόσμο.



You might also like




More from author

Leave A Reply



Cancel Reply

Your email address will not be published.