„Samotná spoločnosť oficiálne komentovala iba „výpadok“ a „vyšetrovanie“, takže všetky informácie o tomto prípade pochádzajú z fotiek zamestnancov, prípadne iných dostupných zdrojov. Práve informácie z nich poukazujú na to, že incident je tzv. cryptolocker útokom (pozn. útok šifrovacím ransomvérom) a konkrétnym malvérom je WastedLocker. Výsledkom tohto útoku je, že súkromní zákazníci nemali prístup k svojim údajom o fyzickej aktivite, piloti nemohli získať aktualizácie máp a zasiahnuté boli aj niektoré výrobné linky v Ázii. Hovorí Denis Legezo, senior bezpečnostný analytik spoločnosti Kaspersky.

Technicky povedané, WastedLocker je cielený ransommvér, čo znamená, že útočníci, ktorí ho ovládajú, namiesto útočenia na všetky možné náhodné ciele, na ktoré majú dosah, sa sústredia na konkrétnych jedincov či spoločnosti. Nejde pritom o jediný ransomvér, ktorý sa  takýmto spôsobom využíva – podobnú schému využíva aj ransomvér Maze a niektoré ďalšie rodiny ransomvérov. Použité šifrovacie algoritmy v ňom nie sú z hľadiska ransomvéru ničím špecifické, sú moderné a silné. Útočníci, ktorí ransomvér ovládajú, len pridajú do správy o výkupnom názov spoločnosti obete – plus údaj o tom, ako ich kontaktovať prostredníctvom zabezpečených e-mailových služieb a pod. Je teda zrejmé, že vedia, po kom idú.

Monitorujeme desiatky webových domén súvisiacich s touto rodinou malvéru. Na mnohých z týchto domén sme zaregistrovali server ako súčasť CobaltStrike – legitímnej platformy na komerčný penetračný testing, ktorú zvyknú útočníci využívať. Táto a ďalšie techniky, ktoré útočníci využívajú, sú veľmi podobné tradičnejším útokom, ktoré kradnú dáta. V prípade WastedLocker sa však zatiaľ iné známky zneužitia okrem šifrovania a žiadostí o zaplatenie výkupného neobjavili.“

 

 

Značky: