Što nam blockchain govori o velikom poslu ransomwarea

Gore: ilustracija Seamartini/DepositPhotos.

Shiva Bissessar i Javed Samuel iz Pinaka Consulting Limited procjenjuju režim plaćanja kriptovalutom blockchaina koji potiče plaćanja ransomwareom. Ponovno objavljeno uz njihovo dopuštenje. Pinaka Consulting je konzultantska tvrtka koja se temelji na informacijskoj sigurnosti i specijalizirana je za digitalnu valutu, blockchain i digitalnu valutu središnje banke (CBDC).

Što je zajedničko sljedećim entitetima; ANSA McAL, Massy Group, Beacon Insurance, Ured državnog odvjetnika Trinidada i Tobaga i Telekomunikacijske usluge Trinidada i Tobaga (TSTT)? Od 2020. svi su postali žrtve cyber incidenta koji je utjecao na njihovu isporuku usluga. Najmanje tri od ovih entiteta potvrdila su da je njihov incident povezan s ransomwareom.

U dokumentu iz siječnja 2023., “Anatomija kripto-omogućenog kibernetičkog kriminala”, Cong i dr., pružaju ključne uvide u takve napade i navode izvore koji procjenjuju da će globalna šteta od napada ransomwarea dosegnuti 30 milijardi USD do 2023. (https://wp. lancs.ac.uk/finec2023/files/2023/01/FEC-2023-017-Daniel-Rabetti.pdf). Koristimo se ovim i drugim izvorima zajedno s našim vlastitim uvidima u korištenju komercijalnog alata za analitiku lanca blokova tvrtke Elliptic kako bismo predstavili početnu verziju ransomwarea i uvide u gospodarsku aktivnost povezanu s takvim napadima.

Faze napada

Skupine koje provode napade ransomwareom slijede određeni obrazac ponašanja, stoga bi poznavanje njihovog identiteta ukazivalo na njihove metode u različitim fazama napada. To bi također otkrilo, na primjer, vrste alata koje koriste za dobivanje početnog pristupa vanjskoj mreži, a potom i unutarnjoj mreži, bočno kretanje unutar unutarnje mreže, povećanje privilegija unutar interne mreže, skeniranje interne mrežne infrastrukture i eksfiltrirati podatke.

Nakon što se te faze izvrše, napadač šifrira datoteke žrtve koristeći samo njemu poznat ključ, čineći te datoteke beskorisnim jer ih više ne mogu čitati žrtveni sustavi. Napadači zatim pokušavaju iznuditi vrijednost od žrtve u zamjenu za pristup alatu koji se može koristiti za dešifriranje datoteka i njihovo ponovno korištenje. Nakon što su operacije onemogućene gubitkom pristupa kritičnim datotekama, žrtva je suočena s izborom plaćanja otkupnine ili pokušaja vraćanja svojih informacijskih sustava iz nezaraženih sigurnosnih kopija.

Prijetnja od curenja podataka

Cong i ostali, primjećuju da je od 2019. u igri novi trend dvostrukog iznuđivanja gdje napadač može imati dodatnu moć nad žrtvom putem prijetnji curenjem nekriptiranih datoteka na mračni web. To bi u najmanju ruku bio izvor neugodnosti i štete reputaciji žrtve ako se za kršenje sigurnosti sazna javnost putem takvog curenja informacija. Privatnost podataka zaposlenika, klijenata i dobavljača lanca opskrbe može biti ugrožena ako dođe do takvog javnog izlaganja podataka.

Znamo točno kako to izgleda nakon nedavnog incidenta na TSTT-u koji je izvela grupa RansomEXX gdje je došlo do otvorene javne rasprave o sadržaju deponije podataka s osobnim identifikacijskim informacijama (PII) klijenata žrtve. izloženi. Autori bi željeli naglasiti da se očekuje odgovorno otkrivanje od stručnjaka koji postupaju s takvim podacima i izvješćuju o njima, tako da žrtve i njihovi dionici ne budu dodatno oštećeni pojedinostima o njihovim podacima koji se otvoreno raspravljaju u javnim forumima. Pri prijavljivanju takvih incidenata treba koristiti metode za prikrivanje podataka koji otkrivaju identitet žrtava.

Traženje otkupnine i moguće plaćanje

Plaćanje se zahtijeva u kripto valuti, kao što je Bitcoin, s obzirom na to da je lako prenosiva preko interneta i izbjegava izazove prekogranične valute. Pregovori mogu biti uključeni kada žrtva unajmi tim za odgovor na incidente da pruži stručnost i pokuša kupiti vrijeme i smanjiti traženi iznos otkupnine. Odluka o plaćanju je na žrtvi; međutim, popisi sankcija mogu igrati ulogu u procesu donošenja odluka. U slučaju ransomware grupe Conti, nakon što su 2022. javno objavili svoju odanost Rusiji, nakon invazije na Ukrajinu, potencijalna plaćanja Contiju poprimila su nedopuštenu prirodu s obzirom na sankcionirani status Rusije. Na kraju je Conti morao zatvoriti radnju, ali se sumnja da podružnice grupe i dalje rade.

Blockchain analitika u Ransomwareu

Nakon što je plaćanje izvršeno, žrtva bi trebala dobiti alate za dešifriranje koje može koristiti za dešifriranje svojih šifriranih datoteka; no to nije zajamčeno. Iz curenja informacija koje na kraju prate napade ransomwarea, možemo zaključiti da ne plaćaju sve žrtve. Kada se plaćanje dogodi, postoji mogućnost da se prati trag kripto valute do novčanika povezanih s grupom ransomwarea i njihovim podružnicama.

FBI je uspio upotrijebiti analitiku blockchaina kao dio svoje istrage kako bi ušao u trag 75 Bitcoina koji su plaćeni Darksideu 2021. i na kraju povratio 63,7 Bitcoina ili 2,3 milijuna USD. Ova isplata bila je povezana s napadom na Colonial Pipeline koji je rezultirao prekidom rada cjevovoda u dužini od 5500 milja, što je u konačnici negativno utjecalo na potrošače na istočnoj obali i uzrokovalo proglašenje izvanrednog stanja u više od 17 američkih država. Pogođeno je 45% rada cjevovoda u SAD-u.

REvil/Sodinokibi

Godine 2020. skupina ransomwarea REvil/Sodinokibi izbjegla je sigurnosne mjere primijenjene u ANSA McAL-u što je utjecalo na operacije u Trinidadu i Tobagu i Barbadosu. Korištenjem komercijalnog alata za analitiku lanca blokova tvrtke Elliptic možemo vidjeti skupinu adresa novčanika na Bitcoin mreži povezanoj s REvilom/Sodinokibijem, što otkriva aktivnost koja seže do 2019. godine kada je grupa formirana.

Elliptični alat koji prikazuje 14 milijuna USD priljeva i odljeva REvil grupi od 2019.

Vrijednost pripisana ovom određenom skupu novčanika pokazuje priljeve od 14 milijuna USD i odljeve od 13,9 milijuna USD od prve transakcije u lipnju 2019. do posljednje transakcije u lipnju 2021. Cong i ostali pripisuju 282 žrtve grupi REvil/Sodinokibi tijekom razdoblja svibnja 2020. do lipnja 2021. Nadalje procjenjuju da ih ukupna vrijednost u američkim dolarima koju je primila ova grupa, za razdoblje od 2021. do 2022., stavlja na četvrto mjesto u ukupnom poretku u smislu skupina ransomwarea koje primaju takvu vrijednost. Za isto razdoblje, Conti grupa je broj jedan, procjenjuje se da je primila 50,9 milijuna USD.

Ako pogledamo neke od nezakonitih aktivnosti identificiranih unutar alata Elliptic koje se mogu pripisati REvilu/Sodinokibiju, možemo istaknuti transakciju od 11 milijuna USD iz nepoznatog izvora koja je također imala istovremenu, ali mnogo manju transakciju od 6,4K USD s Contijem.

Na globalnoj razini akteri ransomwarea smatraju se ozbiljnom prijetnjom operacijama koje se oslanjaju na internet. U studenom 2021., međunarodni napor za provedbu zakona, koji je provelo 17 zemalja, uključujući INTERPOL, pod nazivom Operacija GoldDust, rezultirao je rušenjem REvil/Sodinokibi ransomware grupe i njene infrastrukture. Gotovo istovremeno, Ministarstvo pravosuđa SAD-a izdalo je nagradu od 10 milijuna USD za informacije koje bi dovele do hvatanja vođa REvila/Sodinokibija.

Zaključak

Iako se sada čini nepostojećim, trebali bismo se zabrinuti da je četvrta najveća grupa ransomwarea od 2021. do 2022. izvršila napad na veliki karipski konglomerat. Sve veći broj kibernetičkih incidenata koje vidimo u većim subjektima trebao bi nas navesti da budemo zabrinuti zbog onoga što bi se moglo dogoditi u malim i srednjim poduzećima. Najnoviji napad RansomEXX-a na TSTT također je razlog za strepnju budući da je prema TrendMicrou poznato da ova grupa posebno cilja svoje žrtve; dokaz ovog planiranja unaprijed su imena žrtve pronađena tvrdo kodirana u binarnim datotekama tijekom forenzike nakon napada.

Ove zabrinutosti moraju prepoznati korporativni subjekti dok pripremaju odgovor na sve veći rizik od kibernetičkih incidenata. Preduvjet je postojanje namjenske funkcije informacijske sigurnosti unutar vaše organizacije koja može obratiti pozornost ne samo na tehnologiju, već i na ljude i dimenzije procesa. Svijest se mora graditi od temelja pa sve do C-Suitea i članova odbora jer početni pristup mreži može biti phishing e-pošta.

Nakon incidenta s Colonial Pipelineom, u SAD-u je izdana izvršna naredba kojom se zahtijeva veća pozornost nacionalnoj kibernetičkoj sigurnosti. Bi li ove prijetnje bile prepoznate lokalno na nacionalnoj razini s obzirom da ti napadi mogu osakatiti kritičnu infrastrukturu?

Treba li ovo biti trenutak našeg Colonial Pipelinea?