Το πρωί της Τετάρτης, 3 Μαΐου 2023, το προσωπικό ασφαλείας του Πόλεως του Ντάλας ανακάλυψε ότι πιθανότατα είχε γίνει στόχος επιίθεσεις ransomware. Πολλοί διακομιστές σε διάφορες υπηρεσίες επλήγησαν: οι αποστολείς του 911, οι δικαστικές αίθουσες και οι αστυνομικές υπηρεσίες δεν μπορούσαν να χρησιμοποιήσουν τους υπολογιστές τους για μέρες.

Δείτε επίσης: BitLocker: Η Microsoft προειδοποιεί για σφάλματα στην κρυπτογράφησή του

Αργότερα διαπιστώθηκε ότι 800.000 αρχεία που περιείχαν πλήρη ονόματα, διευθύνσεις κατοικίας, αριθμούς Κοινωνικής Ασφάλισης, ημερομηνίες γέννησης και τα δεδομένα υγείας και ασφάλισης τουλάχιστον 30.000 υπαλλήλων της πόλης και άλλων ατόμων είχαν κλαπεί. Δύο εβδομάδες αργότερα, η ομάδα Royal ransomware, η οποία ανέλαβε την ευθύνη για την επίθεση, απείλησε να δημοσιεύσει τις πληροφορίες. Ειδικά οι αστυνομικοί και άλλοι άνθρωποι των οποίων οι προσωπικές πληροφορίες είχαν κλαπεί, φοβήθηκαν ότι οι πληροφορίες θα μπορούσαν να πέσουν στα χέρια εγκληματιών που ενδεχομένως να ζητήσουν εκδίκηση.

Ένας από τους λόγους που η Royal κατάφερε να χτυπήσει τόσο γρήγορα και αποτελεσματικά στο Ντάλας είναι ότι εκμεταλλεύτηκε μία τάση των τελευταίων ετών, τη μερική κρυπτογράφηση. Ο όρος “μερική κρυπτογράφηση” μπορεί αρχικά να ακούγεται πιο ακίνδυνος από τις παραδοσιακές στρατηγικές επίθεσης, καθώς θεωρητικά προκαλεί λιγότερη ζημιά. Ωστόσο, στην πραγματικότητα, είναι εξίσου καταστροφικός για τους οργανισμούς.

Η κρυπτογράφηση είναι μια δοκιμασμένη και αξιόπιστη στρατηγική για τους δράστες κακόβουλου λογισμικού. Το κακόβουλο λογισμικό εντός των συστημάτων των θυμάτων αφήνει τα δεδομένα τους ανεπηρέαστα, αλλά χωρίς πρόσβση. Οι επιτιθέμενοι απαιτούν ένα αντίτιμο για να ξεκλειδώσουν τα δεδομένα, ώστε οι θύματα να μπορέσουν να συνεχίσουν την επιχειρηματική τους δραστηριότητα όπως συνήθως. Σε μια δεύτερη στρατηγική, στην περίπτωση που τα θύματα αρνηθούν να πληρώσουν, οι επιτιθέμενοι μπορούν ακόμα να κερδίσουν χρήματα πωλώντας τα δεδομένα που έχουν διαρρεύσει.

Δείτε ακόμα: Βρετανία: Ζητά από τη Meta να μην εφαρμόσει end-to-end κρυπτογράφηση σε Instagram και Messenger

Βασισμένοι σε αυτό το μοντέλο, οι χρήστες κακόβουλου λογισμικού έχουν μεγαλώσει σημαντικά την επιχείρησή τους τις τελευταίες δεκαετίες. Και όπως κάθε μεγάλη επιχείρηση, οι επιτιθέμενοι πάντα αναζητούν τρόπους για να βελτιστοποιήσουν τη δουλειά τους και να βρουν πιο αποδοτικούς και οικονομικούς τρόπους για να επιτύχουν τα ίδια ή ακόμη καλύτερα αποτελέσματα.

Η κρυπτογράφηση, ιδίως σε μεγάλες ποσότητες δεδομένων, μπορεί να απαιτεί πολύ χρόνο. Αυτό έχει οδηγήσει τους επιτιθέμενους να αναζητούν πιο αποδοτικούς και αποτελεσματικούς τρόπους για να καθιστούν τα δεδομένα των θυμάτων μη προσβάσιμα μέχρι να πληρώσουν τα λύτρα. Η μερική κρυπτογράφηση, επίσης γνωστή ως διαδοχική κρυπτογράφηση, έχει εμφανιστεί ως ένα παράδειγμα των συνεχώς εξελιγμένων τακτικών επιθέσεων, συχνά σε έτοιμα προϊόντα

, που διατίθενται ανοιχτά στο darkweb, όπως και το παραδοσιακό λογισμικό.

Αντί να κρυπτογραφήσει το σύνολο του παραβιασμένου συστήματος, η μερική κρυπτογράφηση κάνει ακριβώς αυτό: Κρυπτογραφεί ένα μέρος των αρχείων του θύματος είτε τυχαία, κρυπτογραφώντας ένα προκαθορισμένο ποσοστό των δεδομένων, όπως κάνει το ransomware Royal, είτε κρυπτογραφώντας μόνο τα πιο σημαντικά αρχεία, όπως οικονομικά έγγραφα, φωτογραφίες και προσωπικές πληροφορίες. Το κακόβουλο λογισμικό κρυπτογραφεί επιλεκτικά αρχεία που σχετίζονται με ένα συγκεκριμένο έργο ή εργασία, παραβιάζοντας τη λειτουργία του μέχρι να πληρωθεί.

Δείτε επίσης: Key Group ransomware: Εργαλείο αποκρυπτογράφησης επαναφέρει δωρεάν τα αρχεία

Για τους επιτιθέμενους, είναι προφανείς οι πλεονεκτήματα της μερικής κρυπτογράφησης έναντι της πλήρους κρυπτογράφησης:

  • Ταχύτητα. Πιο γρήγορη και λιγότερο επιβαρυντική για τους πόρους από την παραδοσιακή κρυπτογράφηση, οι επιτιθέμενοι μπορούν να ολοκληρώσουν μερική κρυπτογράφηση πριν καν οι θύματα αντιληφθούν την παραβίαση.
  • Πολυπλοκότητα. Επειδή μόνο μερικά δεδομένα είναι κρυπτογραφημένα, είναι πιο δύσκολο για τα θύματα να επαναφέρουν τα δεδομένα από τα αντίγραφα ασφαλείας, αυξάνοντας τις πιθανότητες να πληρώσουν τα λύτρα.
  • Λιγότερη ανίχνευση. Οι αυτοματοποιημένοι σαρωτές μπορεί να μην παρατηρούν τις μικρότερης κλίμακας τροποποιήσεις που προκαλούνται από τη μερική κρυπτογράφηση, ενώ τα συστήματα που έχουν παραβιαστεί μπορεί να μην εκδηλώνουν την ίδια ανωμαλία με τα πλήρως κρυπτογραφημένα συστήματα, προκαλώντας έτσι λιγότερες ειδοποιήσεις.

Οι τελευταίες τάσεις σε επιθέσεις ransomware με μερική κρυπτογράφηση αναδεικνύουν την αυξανόμενη χρήση αυτής της τεχνικής από τους επιτιθέμενους. Η μερική κρυπτογράφηση αναφέρεται στην πρακτική των επιτιθέμενων να κρυπτογραφούν μόνο μέρος των δεδομένων του θύματος, αντί να κρυπτογραφήσουν όλα τα δεδομένα. Αυτό επιτρέπει στους επιτιθέμενους να επιτύχουν γρηγορότερα αποτελέσματα και να απαιτήσουν λιγότερο χρόνο για να επιτύχουν τους στόχους τους.

Πηγή: checkpoint