Koloniālās cauruļvada ransomware hackers bija slepens ierocis: pašnodarbinātas kiberdrošības uzņēmumi

Piecus mēnešus pirms Darkside uzbruka koloniālajam cauruļvadam, divi pētnieki atklāja veidu, kā glābt savus ransomware upurus. Tad antivīrusu uzņēmuma paziņojums brīdināja hakerus.





Koloniālās cauruļvadu tvertnes

Drū Angerers/Getty Images

2021. gada 24. maijs

11. janvārī Antivirus Company BitDefender teica, ka tas ir priecīgs paziņot par pārsteidzošu izrāvienu. Tā bija atradusi trūkumu ransomware, ka banda pazīstams kā Darkside izmantoja, lai iesaldētu dators tīklus desmitiem uzņēmumu ASV un Eiropā. Uzņēmumi, ar kuriem saskaras prasības no Darkside, var lejupielādēt bezmaksas rīku no BitDefender un izvairīties no miljoniem dolāru maksāšanas uz hakeriem.

Bet Bitdefender nebija pirmais, lai noteiktu šo trūkumu. Divi citi pētnieki, fabian wosar un Maikls Gilespijs , bija pamanījuši to mēnesi pirms un sākuši diskrēti meklē upurus, lai palīdzētu. Pārdodot savu rīku, BitDefender brīdināja Darkside Lapse, kas iesaistīts atkārtoti izmantot tos pašus digitālos taustiņus, lai bloķētu un atbloķētu vairākus upurus. Nākamajā dienā, Darkside paziņoja, ka tā ir labojusi problēmu, un ka jaunajiem uzņēmumiem nav nekas, lai cerētu uz.



Īpašs paldies BitDefender par palīdzību mūsu problēmu novēršanā, sacīja DarkSide. Tas mūs padarīs vēl labāk.

DarkSide drīz vien pierādīja, ka tas nav blefs, izraisot virkni uzbrukumu. Šomēnes tas paralizēja Colonial Pipeline Co, pamudinot a izslēgt No 5500 jūdžu cauruļvada, kas veic 45% no degvielas, ko izmanto austrumu krastā - ātri seko pieaugums benzīna cenām, panikas iepirkšanu gāzes pāri dienvidaustrumiem, un slēgšanu tūkstošiem degvielas uzpildes staciju. Bitdefendera paziņojums ir iespējams, ka krīze varētu būt iekļauta, un ka koloniālie var mierīgi atjaunot savu sistēmu ar Wosar un Gillespie atšifrēšanas rīku.

Tā vietā, koloniālais apmaksāts Darkside $ 4,4 miljoni Bitcoin, lai atslēgtu, lai atbloķētu savus failus. Es atzīstu, ka es neesmu ērts redzēt naudu aiziet no durvīm tādiem cilvēkiem, piemēram, CEO Joseph Blount teica Wall Street Journal.



Neatbildētā iespēja bija daļa no plašāka botched vai daļēji sirsnīga atbildes uz pieaugošo ransomware draudi, kas pandēmijas laikā ir invalīdi, skolas, slimnīcas un valsts aģentūras visā valstī. Incidents arī parāda, kā Antivirus uzņēmumi vēlas, lai viņa vārds dažkārt pārkāptu vienu no Cyberwarfare kaķu un peles spēles kardinālajiem noteikumiem: neļaujiet saviem pretiniekiem zināt, ko jūs esat sapratuši. Otrā pasaules kara laikā, kad britu slepenais dienests mācījās no atšifrētiem sakariem, ka Gestapo plānoja nolaupīt un nogalināt vērtīgu dubultu aģentu, Johnny Jebsenu, viņa rokturis nebija atļauts brīdināt viņu par bailēm no cluing ienaidnieks, ka tās šarnīrs bija uzlauzts. Šodien, ransomware mednieki, piemēram, Wosar un Gillespie cenšas pagarināt uzbrucēju nezināšanu, pat pie izmaksām, sazinoties mazāk upuru. Agrāk vai vēlāk, kā maksājumi kritās, cybercriminals saprot, ka kaut kas ir nepareizi.

Neatkarīgi no atšifrēšanas rīks ir aprēķināts lēmums, teica Rob McLeod, Cyberdrošības firmas ESENTIRE draudu reakcijas vienības vecākais direktors. No mārketinga viedokļa jūs dziedāt šo dziesmu no jumtiem par to, kā jūs esat ieradušies ar drošības risinājumu, kas atšifrē cietušā datus. Un tad drošības pētnieka leņķis saka: 'Nenovietojiet šeit informāciju šeit. Saglabājiet ransomware bugs, kas mēs esam noskaidrojuši, kas ļauj mums atšifrēt datu noslēpumu, lai nepaziņotu draudu aktieriem.

In amatā uz tumšā tīmekļa, Darkside pateicās bitdefender, lai identificētu trūkumu banda ransomware. (Izcelt pievienoto Propublicy.)



Wosar teica, ka publiski atbrīvojošie rīki, kā BitDefender darīja, ir kļuvis riskants, jo ransoms ir palielinājies, un bandas ir audzējušas bagātāku un tehniski lietpratīgu. Rindowware sākumā, kad hackers iesaldēja mājas datorus dažiem simtiem dolāru, viņi bieži nevarēja noteikt, kā viņu kods tika sadalīts, ja vien tas nav īpaši norādīts uz tiem.

Šodien Ransomware veidotājiem ir pieejami reversi inženieri un iespiešanās testeri, kas ir ļoti spējīgi, viņš teica. Tādā veidā viņi iegūst ieeju šajos gados ļoti nodrošinātiem tīkliem pirmajā vietā. Viņi lejupielādēt Decryptor, viņi izjauc to, viņi reverse-inženieris to, un viņi izdomā tieši tāpēc mēs varējām atšifrēt savus failus. Un 24 stundas vēlāk, visa lieta ir fiksēta. BitDefender bija jāzina labāk.

Vai izpirkuma programmatūras krīze varētu piespiest rīkoties pret Krieviju?

Maskavas akls acs pret cybercriminals ir veikusi, lai palielinātu uzbrukumus neizbēgami, saka eksperti. Bet mainot pieeju, ir vieglāk pateikt, nekā izdarīts.



Tā nebija pirmā reize BitDefender trompeted risinājums, ka Wosar vai Gillespie to uzvarēja. GilreSpie bija sadalījis ransomware celmu kodu, ko sauc par gogoogle, un palīdzēja upuriem bez fanfares, kad Bitdefender atbrīvoja atšifrēšanu rīks Ar 2020. gada maijā ir paziņojuši arī atklājumus publiski, Wosar un Gillespie teica.

Cilvēki ir izmisīgi par jaunumiem, un lielie drošības uzņēmumi neinteresē cietušajiem, Wosar teica.

Bogdan Botezatu, Bukarestes draudu pētījumu direktors, Rumānija BitDefender, teica, ka uzņēmums nezināja par agrāko panākumu, lai atbloķētu failus, kas inficēti ar Darkside.

Neatkarīgi no tā, viņš teica, BitDefender nolēma publicēt savu rīku, jo lielākā daļa upuru, kas nokrīt ransomware nav pareiza saikne ar ransomware atbalsta grupām, un nezināt, kur lūgt palīdzību, ja vien viņi var uzzināt par to instrumentu esamību no mediju ziņojumiem vai ar vienkāršu meklēšanu.

BitDefender ir nodrošinājis bezmaksas tehnisko atbalstu vairāk nekā ducis Darkstē upuriem, un mēs uzskatām, ka daudzi citi ir veiksmīgi izmantojuši rīku bez mūsu iejaukšanās, Botezatu teica. Gadu gaitā bitdefender ir palīdzējis indivīdiem un uzņēmumiem izvairīties no vairāk nekā 100 miljoniem ASV dolāru, viņš teica.

BitDefender atzina, ka Darkside var labot trūkumu, Botezatu teica: Mēs labi apzināmies, ka uzbrucēji ir veikli un pielāgojas mūsu atšifrētājiem. Bet Darkside varētu būt pamanījis šo jautājumu. Mēs neticam ransomware atšifrējumam, kas veikti klusi pieejami. Uzbrucēji uzzinās par to esamību, informējot mājas lietotājus vai nepieciešamos uzņēmumus, bet lielākajai daļai cietušo nebūs ne jausmas, ka viņi var saņemt savus datus bez maksas.


Uzbrukums koloniālajam cauruļvadam , un šķiet, ka haoss pie gāzes sūkņiem visā dienvidaustrumos, šķiet, ir veicinājis federālo valdību būt pievilcīgāku. Prezidents Joe Biden izdeva izpildvaras rīkojumu, lai uzlabotu kiberdrošību un izveidot projektu federālajai reakcijai uz kiberuzbrukumiem. Darkside teica, ka tas tika slēgts zem ASV spiediena, lai gan ransomware apkalpes bieži ir pārtraukušas, lai izvairītos no pārbaudes, un pēc tam atkārtoti veidojas ar jauniem nosaukumiem, vai viņu locekļi ir uzsākuši vai pievienojušies citām grupām.

Kā izsmalcināts, kā viņi ir, šie puiši atkal parādīsies, un viņi būs tik daudz gudrāki, teica Aaron Tantleff, Čikāgas kiberdrošības advokāts, kurš ir apspriedies ar 10 uzņēmumiem, kas uzbruka tumšās daļās. Viņi atgriezīsies ar atriebību.

'Cilvēki ir izmisīgi par jaunumiem, un lielie drošības uzņēmumi nerūp cietušos.'

Fabian Wosar, ransomware medību komanda

Vismaz līdz šim privātie pētnieki un uzņēmumi bieži vien ir efektīvāki nekā valdība cīņā pret ransomware. Pagājušā gada oktobrī Microsoft pārtrauca infrastruktūru TrickBot, tīkls vairāk nekā 1 miljonu inficētu datoru, kas izplatīja bēdīgi slaveno Ryuk celmu Ransomware, atspējot savus serverus un sakarus. Šajā mēnesī, Protonmail, Šveices balstīta e-pasta pakalpojums, izslēdziet 20 000 Ryuk saistītus kontus.

Wosar un Gillespie, kurš pieder pie pasaules brīvprātīgo grupas, ko sauc par Ransomware medību komandu, ir krekinga vairāk nekā 300 galvenajiem ransomēru celmiem un variantiem, ietaupot aptuveni 4 miljonus upuru, maksājot miljardiem dolāru.

Turpretī FBI reti atšifrē ransomware vai arestu uzbrucēji, kuri parasti atrodas tādās valstīs kā Krievija vai Irāna, kurām trūkst izdošanas nolīgumu ar ASV. Tiek uzskatīts, ka Darkside darbojas no Krievijas. Daudz vairāk upuru meklē palīdzību no medību komandas, izmantojot tīmekļa vietnes, ko uztur tās locekļi, nekā no FBI.

ASV Slepenais dienests izmeklē arī izspiedējvīrusu programmatūru, kas ietilpst tā kompetencē finanšu noziegumu apkarošanā. Taču, it īpaši vēlēšanu gados, tas dažreiz rotē aģentus no kiberuzdevumiem, lai veiktu savu labāk zināmo misiju aizsargāt prezidentus, viceprezidentus, lielāko partiju kandidātus un viņu ģimenes. Eiropas tiesībaizsardzība, jo īpaši Nīderlandes valsts policija, ir bijusi veiksmīgāka nekā ASV uzbrucēju un konfiscējot serverus.

Izpirkuma programmatūras vilnis piemeklē ASV slimnīcas, koronavīrusa pieauguma laikā Bezprecedenta un oportūnistisks uzbrukums rada satraucošu jautājumu: vai tas maksās dzīvību?

Tāpat ASV valdība ir veikusi tikai nelielu virzību, spiežot privāto rūpniecību, tostarp cauruļvadu kompānijām, stiprināt kiberdrošības aizsardzību. Cyberdrošības pārraudzība ir sadalīta starp aģentūru alfabēta zupu, kavējot koordināciju. Iekšzemes drošības departaments veic neaizsargātības novērtējumus kritiskajai infrastruktūrai, kas ietver cauruļvadus.

Tā pārskatīja koloniālo cauruļvadu aptuveni 2013. gadā kā daļu no vietām, kur cyberattack varētu izraisīt katastrofu. Cauruļvads tika uzskatīts par elastīgu, kas nozīmē, ka tas varētu ātri atgūties, saskaņā ar bijušo DHS amatpersonu. Departaments neatbildēja uz jautājumiem par turpmākajām pārbaudēm.

Piecus gadus vēlāk, DHS izveidoja cauruļvadu kiberdrošību iniciatīvs Lai identificētu vājās puses cauruļvadu datorsistēmās un ieteiktu stratēģijas, lai tos risinātu. Dalība ir brīvprātīga, un persona, kas iepazinusies ar iniciatīvu, teica, ka ir vairāk noderīgākiem mazākiem uzņēmumiem ar ierobežotu IT pieredzi nekā lieliem, piemēram, koloniāliem. Nacionālā riska pārvaldības centrs, kas pārrauga iniciatīvu, arī pašgrābji ar citiem sarežģītiem jautājumiem piemēram, vēlēšanu drošība.


Ransomware kopš 2012. gada ir strauji pieaugusi , kad Bitcoin Advent ir grūti izsekot vai bloķēt maksājumus. Noziedznieku taktika ir attīstījušās no nevēlamiem izsmidzināšanas un lūgšanas kampaņām, kas meklē dažus simtus dolāru, kas vērsti uz konkrētiem uzņēmumiem, valsts aģentūrām un bezpeļņas grupām ar multimillion dolāru prasībām.

Uzbrukumi enerģētikas uzņēmumiem jo īpaši ir palielinājušies pandēmijas laikā - ne tikai ASV, bet Kanādā, Latīņamerikā un Eiropā. Tā kā uzņēmumi ļāva darbiniekiem strādāt no mājām, tie atviegloja dažas drošības kontroles, sacīja Makleods.

Darkside pieņēma, kas ir pazīstams kā ransomware-As-A-pakalpojumu modelis. Saskaņā ar šo modeli tas sadarbojās ar saistītajiem uzņēmumiem, kas uzsāka uzbrukumus. Filiāles saņēma 75% līdz 90% no izpirkuma, un atlikušo daļu.

Kopš 2019. gada daudzām bandām ir sprūdrata spiedienu ar tehniku, kas pazīstama kā dubultā izspiešana. Ievadot sistēmu, tie nozagt sensitīvus datus pirms ransomware, kas kodē failus un padara neiespējamu slimnīcām, universitātēm un pilsētām, lai veiktu savu ikdienas darbu. Ja datora piekļuves zudums nav pietiekami biedējoši, viņi draud atklāt konfidenciālu informāciju, bieži vien ievietojot paraugus kā sviras efektu. Piemēram, ja Vašingtona, DC, policijas departaments nemaksāja $ 4 miljonus pārdomājuma, ko pieprasīja banda sauc Babuk pagājušajā mēnesī, Babuk publicēja izlūkošanas instruktāžas, noziedzīgu aizdomās turēto personu vārdus un liecinieku un personāla failus, sākot no medicīniskās informācijas uz poligrāfa testu virsnieku un darba kandidātu rezultāti.

Darkside, kas kļuva pagājušā gada augustā, epitomizēja šo jauno šķirni. Tā izvēlējās mērķus, pamatojoties uz rūpīgu finanšu analīzi vai informāciju, kas iegūta no korporatīvajiem e-pastiem. Piemēram, tas uzbruka vienam no Tantleff klientiem nedēļas laikā, kad hackers zināja, ka uzņēmums būtu neaizsargāts, jo tas pāriet savus failus mākonī un nebija tīras backups.

Lai iefiltrētu mērķa tīklus, banda izmantoja progresīvas metodes, piemēram, nulles dienu, kas tūlīt izmantot programmatūras ievainojamības, pirms tās var ielāpt. Pēc tam, kad iekšā tā ātri pārvietojās, meklējot ne tikai jutīgus datus, bet arī cietušā kiberdrošības politiku, tāpēc tas varētu piesaistīt savas prasības seguma apmērā. Pēc divām līdz trim dienām poking apkārt, Darkside šifrēja failus.

Viņiem ir ātrāks uzbrukuma logs, sacīja Christopher Ballod, Asociētais rīkotājdirektors Cyber ​​Risku Krollā, biznesa pētījumu uzņēmumā, kurš ir konsultējis pusducis Darkstē upurus. Jo ilgāk uzkavēsities sistēmā, jo lielāka iespēja, ka tiksiet pieķerts.

Parasti DarkSide prasības bija augstā mēroga beigās, $ 5 miljoni un uz augšu, teica Ballod. Viena biedējoša taktika: ja publiski tirgotie uzņēmumi nemaksāja izpirkumdienu, thrkide draudēja dalīties ar informāciju, kas nozagta no tiem ar īstermiņa pārdevējiem, kuri gūtu peļņu, ja akciju cena samazinājās pēc publicēšanas.

Darkide vietne uz tumšās tīmekļa identificētajiem desmitiem upuru un aprakstīja konfidenciālos datus, ko tā apgalvoja, ka no tiem ir sadalīti. Viens bija New Orleans Law Firm akmens Pigman Walther Wittmann. Liels kairinājums ir tas, kas bija, advokāts Phil Wittmann teica, atsaucoties uz Darkside Attack februārī. Mēs tos neko nemaksājām, teica Michael Walshe Jr, uzņēmuma vadības komitejas priekšsēdētājs, samazinoties komentēt tālāk.

Pagājušā gada novembrī, Darkside pieņemts Kas ir pazīstams kā ransomware-as-pakalpojuma modelis. Saskaņā ar šo modeli tas sadarbojās ar saistītajiem uzņēmumiem, kas uzsāka uzbrukumus. Filiāles saņemts 75% līdz 90% no izpirkuma maksas, bet DarkSide patur atlikušo daļu. Tā kā šī partnerība liecina, ransomware ekosistēma ir izkropļots korporatīvās kultūras spogulis, un viss, sākot no darba intervijām strīdu izskatīšanas procedūrām. Pēc Darkstide Shut Down, vairāki cilvēki, kas sevi identificēja kā tās filiāles sūdzējās par strīdu izšķiršanas forumu, ka tas bija stīvināts tos. Mērķis maksāja, bet es savu daļu nesaņēmu, viens rakstīja.

Tiek ziņots, ka DarkSide un tā filiāles kopā nopelnīja vismaz 90 miljonus ASV dolāru. Septiņi no Tantleff klientiem, ieskaitot divus uzņēmumus enerģētikas nozarē, maksā ransoms sākot no 1,25 miljoniem ASV dolāru līdz $ 6 miljoniem, atspoguļojot sarunu ceļā atlaides no sākotnējām prasībām 7,5 miljoniem ASV dolāru līdz $ 30 miljoniem. Viņa pārējie trīs klienti skāra Darkside nemaksās. Vienā no šiem gadījumiem hakeri pieprasīja $ 50 miljonus. Sarunas kļuva asas, un abas puses nevarēja vienoties par cenu.

Darkide pārstāvji bija gudri darījumi, Tantleff teica. Ja cietušais teica, ka nevar atļauties izpirkuma dēļ pandēmijas dēļ, thirdside bija gatava ar datiem, kas liecina, ka uzņēmuma ieņēmumi bija uz augšu, vai ka COVID-19 ietekme tika ņemta vērā cenā.

Darkside izpratne par ģeopolitiku bija mazāk attīstīta nekā tās pieeja ransomware. Aptuveni tajā pašā laikā, kad tā pieņēma filiāļu modeli, tas ievietojis, ka tā plāno aizsargāt nozagtu no upuriem, uzglabājot to serveros Irānā. Darkside acīmredzot nesaprata, ka Irānas savienojums sarežģītu savu upuru kolekciju no upuriem ASV, kurai ir ekonomiskas sankcijas, kas ierobežo finanšu darījumus ar Irānu. Lai gan dusmas vēlāk gāja atpakaļ šo paziņojumu, sakot, ka tas bija tikai uzskatīts tikai par Irānu kā iespējamo atrašanās vietu, daudziem kibert apdrošinātājiem bija bažas par maksājumu segšanu grupā. Cooveware, kas savieno firmu, kas vienojas ar uzbrucējiem par cietušo vārdā, pārtrauca darījumu ar Darkside.

Ballod teica, ka ar saviem apdrošinātājiem nevēlas atmaksāt izpirkšanu, neviens no saviem klientiem nemaksāja Darkside, neskatoties uz to, ka tās ir saistītas ar savu datu iedarbību. Pat ja viņi būtu cavedies uz Darkside, un saņēma garantijas no hakeriem, atgriezās, ka dati būtu sasmalcināti, informācijai joprojām varētu nopludināt, viņš teica.


Darkside pāreja uz filiāļu modeli , tā ransomērlietojumos tika ieviesta kļūda. Ievainojamība pievērsa Ransomware Hunting Team dalībnieku uzmanību. Izveidota 2016. gadā, tikai uzaicinājuma komanda sastāv no aptuveni desmitiem brīvprātīgajiem ASV, Spānijā, Itālijā, Vācijā, Ungārijā un Apvienotajā Karalistē. Viņi strādā kiberdrošības vai saistītās jomās. Savā brīvajā laikā viņi sadarbojas, lai atrastu un atšifrētu jaunus ransomware celmus.

Vairākiem locekļiem, tostarp Wosar, ir maz formāla izglītība, bet piemērotība kodēšanai. Vidusskolu pametis Vosars uzauga strādnieku ģimenē netālu no Vācijas ostas pilsētas Rostokas. 1992. gadā astoņu gadu vecumā viņš pirmo reizi ieraudzīja datoru un bija sajūsmā. 16 gadu vecumā viņš izstrādāja pats savu pretvīrusu programmatūru un pelnīja ar to naudu. Tagad viņam ir 37 gadi, viņš ir strādājis pretvīrusu firmā Emsisoft kopš tās dibināšanas gandrīz pirms divām desmitgadēm un ir tās galvenais tehnoloģiju speciālists. Viņš 2018. gadā pārcēlās uz Lielbritāniju no Vācijas un dzīvo netālu no Londonas.

Viņš ir cīnās ransomware hakeriem kopš 2012. gada, kad viņš krekinga celmu sauc Accdfisa, kas stāvēja pret Cyber ​​noziedzības departamenta Federālās Internet Security Agency. Šī izdomātā aģentūra paziņoja cilvēkiem, ka bērnu pornogrāfija bija inficējusi savus datorus, un tā tas bloķē piekļuvi saviem failiem, ja vien viņi maksāja $ 100, lai noņemtu vīrusu.

Google saka, ka hakeri ir pārāk vienkārši atrast jaunus drošības trūkumus Uzbrucēji atkal un atkal izmanto tos pašus programmatūras ievainojamības veidus, jo uzņēmumi bieži garām mežu kokiem.

Accdfisa hacker beidzot pamanīja, ka celms bija atšifrēts un izlaida pārskatītu versiju. Daudzi no Wosar nākošajiem triumfēm bija arī īslaicīgs. Viņš un viņa komandas biedri centās saglabāt noziedzniekus svētlaimīgi neapzināties tik ilgi, cik vien iespējams, ka viņu celms bija neaizsargāts. Viņi atstāja kriptiskus ziņojumus forumos, aicinot cietušos sazināties ar viņiem, lai saņemtu palīdzību vai nosūtītu tiešus ziņojumus cilvēkiem, kuri ievietoti, ka viņi tika uzbruka.

Gaitā aizsardzību pret datoru ielaušanos, analītiķi antivīrusu firmām dažreiz atklāja ransomware trūkumus un būvēti atšifrēšanas instrumenti, lai gan tas nebija viņu galvenā uzmanība. Dažreiz viņi saduras ar Wosar.

2014. gadā Wosar atklāja, ka ransomware sastops, ko sauc par Cryptodefense kopēts un ielīmēts no Microsoft Windows dažiem kodiem, ko tā izmantoja, lai bloķētu un atbloķētu failus, neapzinot, ka tas pats kods tika saglabāts mapē uz upura datorā. Tas bija pazudis signālu vai karogu, savā programmā, ko parasti iekļauj ransomware veidotāji, lai instruētu Windows, lai saglabātu atslēgas kopiju.

Wosar ātri izstrādāja atšifrēšanas rīku, lai ielādētu atslēgu. Mēs saskārāmies ar interesantu Cronundrum, Sarah White, vēl viens medību komandas biedrs, rakstīja Emsisoft's Emuārs . Kā iegūt mūsu rīku visvairāk upuru iespējams bez brīdināt ļaunprātīgas programmatūras attīstītājs viņa kļūdas?

Wosar diskrēti meklēja Cryptodefense upurus, izmantojot atbalsta forumus, brīvprātīgo tīklus un paziņojumus par to, kur sazināties ar palīdzību. Viņš izvairījās, aprakstot, kā rīks strādāja vai blūza tas izmantots. Kad upuri nāca klajā, viņš piegādāja labojumu, attīrot ransomware no vismaz 350 datoriem. Cryptodefense beidzot pieķerta pie mums ... bet viņam vēl nebija piekļuves Decrypter mēs izmantojām, un nebija ne jausmas, kā mēs atšķīrām viņa upuru failus, balts rakstīja.

'Mēs saskārāmies ar interesantu mīklu ... kā iegūt mūsu rīku, lai visvairāk upuru iespējams, nepārklājot ļaunprātīgas programmatūras izstrādātāju viņa kļūdas?

Sarah White, ransomware medību komanda

Bet tad antivīrusu uzņēmums, Symantec, atklāja to pašu problēmu un bragged par atklājumu uz emuāra pastu, kas satur pietiekami daudz informācijas, lai palīdzētu kriptodefense attīstītājs atrast un labot trūkumu, balts rakstīja. 24 stundu laikā uzbrucēji sāka izplatīt pārskatītu versiju. Viņi mainīja savu nosaukumu cryptowall un izgatavots 325 miljoni dolāru.

Symantec izvēlējās ātri publicitāti, palīdzot Cryptodefense upuriem atgūt savus failus, balto rakstīja. Dažreiz ir lietas, kas ir labāk atstātas neizteikts.

Briswcom, kas 2019. gadā iegādājās Symantec uzņēmuma drošības biznesu, atteicās komentēt, sakot, ka komandas locekļi, kas strādāja pie instrumenta, vairs nav ar uzņēmumu.


Tāpat kā Wosar, 29 gadus vecs Gillespie nāk no nabadzības un nekad devās uz koledžu. Kad viņš auga Central Illinois, viņa ģimene cīnījās tik daudz finansiāli, ka dažreiz bija jāpārvietojas ar draugiem vai radiniekiem. Pēc vidusskolas viņš strādāja pilna laika 10 gadus datora remonta ķēdē, ko sauc par Nerds uz zvanu. Pagājušajā gadā viņš kļuva par ļaunprātīgas programmatūras un kiberdrošības pētnieku uzņēmumā Coveware.

Pagājušā gada decembrī viņš ziņoja Wosar par palīdzību. Gillespie strādāja ar tumšās upuri, kurš bija samaksājis izpirkumu un saņēmis rīku, lai atgūtu datus. Bet DarkSide Decryptor bija reputācija par lēnu, un cietušais cerēja, ka Gillespie varētu paātrināt procesu.

Gillespie analizēja programmatūru, kurā bija atslēga failu izlaišanai. Viņš vēlējās iegūt atslēgu, bet tāpēc, ka tas tika saglabāts neparasti sarežģītā veidā, viņš nevarēja. Viņš vērsās pie Wosar, kurš varēja to izolēt.

Pēc tam komandas biedri sāka testēt atslēgu citos DarkSide inficētos failos. Gillespie pārbaudīja failus augšupielādēja upuri uz tīmekļa vietni, kuru viņš darbojas, ID ransomware, bet Wosar lieto Virustotal, tiešsaistes datu bāze par aizdomām par ļaunprātīgu programmatūru.

Tajā naktī viņi dalījās atklāšanā.

Man ir apstiprinājums Darkside atkārtoti izmantojot savas RSA atslēgas, Gillespie rakstīja medību komandai uz tās slack kanālā. Kriptogrāfijas veids, RSA ģenerē divus taustiņus: publisku atslēgu, lai kodētu datus un privātu atslēgu, lai to atšifrētu. RSA tiek izmantots likumīgi, lai aizsargātu daudzus e-komercijas aspektus, piemēram, kredīta numuru aizsardzību. Bet tas ir arī co-izvēlējās ransomware hackers.

Es pamanīju to pašu, kā es varēju atšifrēt nesen šifrētus failus, izmantojot savu decrypter, Wosar atbildēja mazāk nekā stundu vēlāk, 2:45 A.M. Londonas laikā.

Viņu analīze parādīja, ka pirms filiāļu modeļa pieņemšanas, Darkside bija izmantojis atšķirīgu publisko un privāto atslēgu katram upurim. Wosar bija aizdomas, ka šajā pārejā, Darkside ieviesa kļūdu savā filiāļu portālā, ko izmanto, lai radītu ransomware katram mērķim. Wosar un Gillespie tagad varētu izmantot atslēgu, ka Wosar bija ieguvis, lai ielādētu failus no Windows aizturētajām Windows mašīnām. Kriptogrāfijas blūza neietekmēja Linux operētājsistēmas.

Kā amatpersonas aizsargā vēlēšanas no ransomware hakeriem Bažas par uzbrukumu vēlēšanu sistēmām ir reālas. Bet hack nebūtu sabojāt balsojumu tik daudz kā dezinformācija, kas radītu rezultātu.

Mēs scratching mūsu galvām, Wosar teica. Vai viņi patiešām ir bijuši slikti? Darkside bija viens no profesionālākajiem ransomware-As-A-pakalpojumu shēmām. Viņiem ir ļoti reti sastopama šāda milzīga kļūda.

Medību komanda mierīgi svinēja, neredzot publicitāti. White, kurš ir datorzinātnes students Royal Holloway, daļa no Londonas Universitātes, sāka meklēt Darkide upurus. Viņa sazinājās ar firmām, kas nodarbojas ar digitālo tiesu ekspertīzi un reaģēšanu uz incidentiem.

Mēs viņiem teicām: 'Hei, klausieties, ja jums ir kādi tumši upuri, pastāstiet viņiem, lai sazinātos ar mums; mēs varam viņiem palīdzēt. Mēs varam atgūt savus failus, un viņiem nav jāmaksā milzīgs izpirkums, 'sacīja Wosar.

Darkside hakeri galvenokārt aizņēma Ziemassvētku sezonu. Gillespie un Wosar gaidīja, ka tad, kad uzbrukumi atsāka jaunajā gadā, viņu atklājums palīdzētu desmitiem upuru. Bet tad BitDefender publicēja savu amatu, zem virsraksta Darkside Ransomware atšifrēšanas rīks.

Messaging Channel ar Ransomware reaģēšanas kopienu, kāds jautāja, kāpēc BitDefender būtu gals no hakeriem. Publicitāte, balts atbildēja. Izskatās labi. Es varu garantēt, ka tagad jūs to labos daudz ātrāk.

Viņai bija taisnība. Nākamajā dienā, Darkside atzina kļūdu, ko Wosar un Gillespie bija atrasts pirms Bitdefender. Sakarā ar problēmu ar galveno paaudzi, daži uzņēmumi ir vienādi taustiņi, hakeri rakstīja, pievienojot, ka līdz 40% taustiņu tika ietekmēti.

Darkside Mocked BitDefender, lai atbrīvotu atšifrēšanu nepareizā laikā ... kā ASV un mūsu partneru aktivitāte jaunā gada brīvdienās ir zemākais.

Pievienojot komandas neapmierinātību, Wosar atklāja, ka BitDefender rīks bija savi trūkumi. Izmantojot uzņēmuma Decryptor, viņš mēģināja atbloķēt paraugus, kas inficēti ar tumšām un konstatēja, ka tie ir bojāti procesā. Viņi patiesībā īstenoja atšifrēšanu nepareizi, Wosar teica. Tas nozīmē, ka upuri izmantoja Bitdefender rīku, ir laba iespēja, ka viņi bojāja datus.

Jautāts par Wosar kritiku, Botezatu teica, ka datu atgūšana ir sarežģīta, un ka BitDefender ir veikusi visus piesardzības pasākumus, lai pārliecinātos, ka mēs neapdraudam lietotāju datus, tostarp izsmeļošu testēšanu un kodu, kas novērtē, vai iegūtais atšifrētais fails ir derīgs.

Pat bez bitdefendera, Darkside varētu drīzumā sapratu savu kļūdu, teica Wosar un Gillespie. Piemēram, jo ​​tie izsijāti ar apdraudētiem tīkliem, hakeri varētu būt saskārušies ar e-pastu, kurā upuri palīdzēja medību komanda apsprieda trūkumu.

Viņi varētu to izdomāt šādā veidā - tā vienmēr ir iespēja, sacīja Vosars. Bet tas ir īpaši sāpīgi, ja neaizsargātība tiek nodedzināta ar kaut ko stulbu.

Incidents vadīja medību komandu, lai monētu terminu priekšlaicīgai iedarbībai uz vājumu ransomēru celmu. Iekšēji, mēs bieži joks, 'jā, viņi, iespējams, gatavojas vilkt bitdefender,' teica Wosar.


Šis stāsts tika publicēts ar Propublica, bezpeļņas Newsroom, kas izmeklē varas ļaunprātīgu izmantošanu. Renee Dudley un Daniels Golden ir vērsti uz Ransomware propublica un strādā pie grāmatas par Ransomware medību komandu, kas nākamajā gadā jāpublicē Farrar, Straus un Giroux.

Reģistrējieties, lai saņemtu Propublica lielākie stāsti tiklīdz tie ir publicēti.