#ZaufanaTrzeciaStrona - Jak wyglądają negocjacje z szantażystami krok po kroku.

Data: 02.08.2020 21:26

Autor: ziemianin

zaufanatrzeciastrona.pl

#aktualnosci #codziennaprasowka #informacje #wiadomosci #Info #Wlamania #CWT #czat #negocjacje #RagnarLocker #ransomware

Grzeczna i bardzo profesjonalna obsługa klienta. Szybka reakcja, pełne zrozumienie sytuacji, fachowa obsługa, a na koniec solidne rekomendacje. Czy to zdobywca Lauru Obsługi Klienta? Nie, to przestępcy stojący za ransomware.

#ZaufanaTrzeciaStrona – Jak wyglądają negocjacje z szantażystami krok po kroku.

Negocjacje w kwestiach zapłaty za odzyskanie danych z reguły mają nie ujrzeć światła dziennego – czasem jednak udaje się zdobyć zapis ich przebiegu. Właśnie wyciekła rozmowa w sprawie okupu dla autorów Ragnar Lockera, którym udało się zablokować 30 000 komputerów firmy CWT. CWT, znane kiedyś jako Carlson Wagonlit Travel, zajmuje się rezerwowaniem podróży dla pracowników setek największych firm na świecie. Aby móc kontynuować swoją misję, musiało zapłacić 4,5 mln dolarów szantażystom, a zapis negocjacji wyciekł do sieci.

Dzień dobry, w czym możemy pomóc

Zrzuty ekranu z negocjacji krążyły w „prywatnym obiegu” od czwartku, ale w piątek opublikował je na Twitterze Jack Stubbs. Nie wiemy, kto prowadzi rozmowę ze strony ofiary – podejrzewamy, że podobnie jak w wielu przypadkach może to być profesjonalny negocjator, wystawiony przez firmę ubezpieczeniową. Rozmowa przebiega tak.

pozostała treść na stronie źródła

#ZaufanaTrzeciaStrona - Kiedy ostatnio sprawdzaliście pliki w koszu? Mogli się tam kryć . . .

Data: 26.07.2020 15:36

Autor: ziemianin

zaufanatrzeciastrona.pl

#cyberbezpieczenstwo #Info #Wlamania #Chiny #kradziez #aktualnosci #codziennaprasowka #informacje #wiadomosci

Jedno z miejsc na komputerze, gdzie rzadko zaglądamy z uwagą, to kosz. Jeśli rzucamy tam okiem to głównie po to, by uwolnić miejsce na dysku kasując jego zawartość. Korzystali z tego chińscy włamywacze, panoszący się po firmach na całym świecie.

#ZaufanaTrzeciaStrona – Kiedy ostatnio sprawdzaliście pliki w koszu? Mogli się tam kryć chińscy hakerzy

Rzadko trafiamy na akty oskarżenia, w których punkt po punkcie wypisane są kolejne ataki przestępców, z datami, ścieżkami do plików i rozmiarami wykradzionych danych. Tym razem jednak śledczy musieli mieć bardzo dobre źródła informacji, bo akt oskarżenia przeciwko Li Xiaoyu i Dongowi Jiazhi jest bardzo, ale to bardzo szczegółowy. Zobaczmy, czego możemy się nauczyć na podstawie jego lektury.

Li i Dong to koledzy z technikum elektrycznego w Chengdu, ukończyli także tą samą uczelnię. Bardzo pracowici koledzy, bo według amerykańskich organów ścigania od 2009 włamali się co najmniej do dziesiątek firm w USA, Australii, Belgii, Niemczech, Japonii, Holandii, Korei Południowej, Hiszpanii, Szwecji i Wielkiej Brytanii. U ofiar szukali sekretów handlowych, kodów źródłowych, planów, projektów i wszystkiego, co można ukraść i sprzedać. Czasem szantażowali ofiary, grożąc ujawnieniem wykradzionych danych.

Ofiary wybierali, kierując się publicznie dostępnymi informacjami o tym, jakie firmy mogły posiadać interesujące ich dane. Czasem atakowali te podmioty bezpośrednio, czasem poprzez ich dostawców. Jak przeprowadzali swoje ataki?

A narzędzia i dane schowamy w koszu

W pierwszym etapie wykorzystywali znane już, choć niedawno ujawnione podatności lub błędy konfiguracyjne w aplikacjach WWW. Na serwer wgrywali webshella (najczęściej China Chopper), którego „ukrywali” na przykład pod takim adresem

domena.com/builds/fragments/p.jsp

Następnie wgrywali kolejne narzędzia, umożliwiające im kradzież poświadczeń oraz przejęcie zdalnej kontroli nad komputerami w sieci ofiary. W kolejnym kroku lokalizowali interesujące dane, zbierali je w jednym folderze, kompresowali za pomocą RAR-a z użyciem hasła, w pliku wynikowym zamieniali rozszerzenie na JPG i pobierali go z sieci ofiary.

Do ukrywania plików na komputerze ofiary używali rzadko spotykanej, a bardzo prostej sztuczki. Swój katalog roboczy, w którym trzymali narzędzia oraz wykradane i kompresowane dane tworzyli w systemowym koszu – czyli miejscu, gdzie rzadko można trafić przez przypadek. Dzięki temu łatwiej było im uniknąć sytuacji, w której tworzone pliki wzbudzały zainteresowanie użytkownika.

Gigabajty, setki gigabajtów

Wykradane dane trafiały na serwery w Chinach, gdzie oskarżeni je sprzedawali zainteresowanym podmiotom lub przekazywali służbom specjalnym (o tym wątku w paragrafie poniżej). Ilośc wykradanych danych robi wrażenie. Akt oskarżenia wymienia 25 ofiar i podaje rozmiary strat w gigabajtach – wartości wahają się od 1 GB do 1,2 TB na ofiarę. Kilka przykładów:

szwedzki producent gier – 169 GB danych, w tym kod źródłowy produktów,

litewski producent gier – 38 GB danych,

amerykański producent z sektora zbrojeniowego – 140 GB danych projektów, planów i prezentacji,

amerykańsko – japońska firma z branży przemysłowej – 1,2 TB danych projektowych, w tym projekty wysokowydajnych turbin gazowych,

hiszpańska firma z sektora obronnego – 900 GB dokumentów projektowych.

Najnowsze ataki wymienione w akcie oskarżenia pochodzą z czerwca 2020 – cały dokument obejmuje zatem ok. 11 lat aktywności przestępców. Co ciekawe, akt oskarżenia wymienia nie tylko ataki, ale także prowadzenie rekonesansu czy też zbieranie ogólnie dostępnych informacji na określony temat (np. metody komunikacji osób protestujących w Hongkongu) – lektura takich szczegółów każe się zastanawiać, czy ktoś tu nie podsłuchiwał każdego naciśnięcia klawisza przez sprawców.

Nie tylko komercyjne ataki

Co ciekawe, Li i Dong najwyraźniej pracowali także na rzecz chińskiego rządu. Według aktu oskarżenia działali pod kontrolą oficera chińskiego Ministerstwa Bezpieczeństwa Państwowego i wykradali informacje dotyczące wojskowych systemów satelitarnych, łączności bezprzewodowej, urządzeń laserowych dużej mocy czy systemów współpracy śmigłowców z okrętami. Ponadto w trakcie swoich działań zdobywali także adresy email i hasła do skrzynek chińskich dysydentów, organizatorów protestów w Hongkongu czy korespondencji pastorów nielegalnych kościołów chrześcijańskich w Chinach. Od oficera prowadzącego dostawali wsparcie – akt oskarżenia wspomina, że ten przekazał im exploita typu 0day na jedną z popularnych przeglądarek.

Podsumowanie

Choć nigdy nie wątpiliśmy, że amerykańskie służby wywiadowcze mają sporą wiedzę o działaniach włamywaczy z innych krajów, to rzadko tą wiedzą dzieliły się z organami ścigania. To ciekawy trend, w którym ostatnio coraz częściej pojawiają się akty oskarżenia wobec rosyjskich i chińskich cyberprzestępców, zawierające często bardzo szczegółowe zarzuty. Czy celem jest odstraszenie napastników? Być może tak – bo sprawcy najczęściej i tak pozostają poza amerykańską jurysdykcją.

Zaufana Trzecia Strona - „Płać za zwrot danych” już nieaktualne – teraz jest „Płać albo publikujemy”

Data: 09.01.2020 00:56

Autor: ziemianin

zaufanatrzeciastrona.pl

#codziennaprasowka #informacje #wiadomosci #aktualnosci #cyberbezpieczenstwo #Wlamania #Zlosniki #Maze #ransomware #ryuk #Suthwire #WorldHostingFarmLimited

Autorzy ransomware najwyraźniej zauważyli możliwość zwiększenia konwersji swoich przymusowych klientów – oprócz szyfrowania danych zaczęli je wykradać i grozić upublicznieniem. Jedna grupa nawet założyła w tym celu własny serwis WWW.

Zaufana Trzecia Strona – „Płać za zwrot danych” już nieaktualne – teraz jest „Płać albo publikujemy”

Rok 2019 przyniósł istotne zmiany w krajobrazie ataków ransomware. Coraz częściej widzimy na polskim rynku i poza nim ataki wycelowane w przedsiębiorstwa. Nazwy takie, jak Ryuk, LockerGoga, MegaCortex, Maze czy RobbinHood, budzą niemiłe wspomnienia niejednego prezesa. W ostatnim roku część przestępców porzuciła szyfrowanie dysków osób prywatnych i skoncentrowała się na działalności b2b. Rozpoznają biznes ofiary, szacują potencjalne straty, zdobywają uprawnienia administratora domeny i uruchamiają procedury szyfrowania jednocześnie na setkach lub tysiącach stacji roboczych i serwerów. Odpowiednio do większego wysiłku, który wkładają w swoją działalność, zwiększyli także kwoty oczekiwanych okupów. Stawki zaczynają się od 100 000 – 200 000 PLN, ale widzieliśmy też takie po kilka milionów. Cześć organizacji płaci, część odzyskuje z backupów – i ta druga grupa jest głównym problemem przestępców. Przestępcy postanowili ten problem zaadresować w ciekawy, choć niepokojący sposób.

ciąg dalszy na stronie źródła