Hur mörka nät av cyberbrottslingar samarbetar

Av | juni 20, 2021


Inside A Ransomware Attack: How Dark Webs of Cyber ​​Criminals Collaborate 101
Källa: Adobe / zefart

David S. Wall, professor i kriminologi, University of Leeds.
____

I deras Carbis Bay-kommunikation meddelade G7 sin avsikt att arbeta tillsammans för att ta itu med ransomware-grupper. Dagar senare träffade USA: s president Joe Biden den ryska presidenten Vladimir Putin, där en utlämningsprocess för att ställa ryska cyberbrottslingar inför rätta i USA diskuterades. Putin höll enligt uppgift principiellt, men insisterade på att utlämning skulle vara ömsesidig. Tiden kommer att visa om ett utlämningsavtal kan uppnås. Men om det är det, vem ska exakt utlämnas – och vad för?

Problemet för brottsbekämpning är att ransomware – en form av skadlig kod som används för att stjäla organisationens data och hålla den till lösen – är en mycket hal fisk. Det är inte bara ett blandat brott, inklusive olika brott över olika lagar, utan det är också ett brott som sträcker sig över olika polisverk och i många fall länder. Och det finns ingen viktig brottsling. Ransomware-attacker involverar ett distribuerat nätverk av olika cyberbrottslingar, ofta okända för varandra för att minska risken för gripande.

Så det är viktigt att titta på dessa attacker i detalj för att förstå hur USA och G7 kan gå tillväga för att hantera det ökande antalet ransomware-attacker vi har sett under pandemin, med minst 128 offentligt avslöjade incidenter som äger rum globalt i maj 2021.

Vad vi hittar när vi ansluter prickarna är en professionell bransch långt borta från den organiserade brottsboken, som till synes hämtar sin inspiration direkt från sidorna i en företagsstudiehandbok.

Ransomware-industrin är ansvarig för en enorm mängd störningar i dagens värld. Dessa attacker har inte bara en förödande ekonomisk effekt som kostar miljarder dollar i skada, men de stulna uppgifterna som anskaffats av angripare kan fortsätta att kaskadas ned genom brottkedjan och driva upp andra cyberbrott.



Läs mer: Ransomware-gäng driver upplopp – det hjälper inte att betala dem


Ransomware-attacker förändras också. Den kriminella branschens affärsmodell har skiftat mot att tillhandahålla ransomware som en tjänst. Detta innebär att operatörer tillhandahåller skadlig programvara, hanterar utpressnings- och betalningssystemen och hanterar “varumärkets” rykte. Men för att minska deras exponering för risken för gripande rekryterar de dotterbolag i generösa uppdrag för att använda sin programvara för att starta attacker.

Detta har resulterat i en omfattande distribution av kriminellt arbete, där människorna som äger skadlig programvara inte nödvändigtvis är desamma som de som planerar eller utför ransomware-attacker. För att komplicera sakerna ytterligare får de hjälp med att begå sina brott genom tjänster som erbjuds av det bredare cyberbrottsekosystemet.

En hackad hackare
Till och med en ensam hackare använder sig av andras kriminella förmågor.
trambler58 / Shutterstock

Hur fungerar ransomware-attacker?

Det finns flera steg i en ransomware-attack, som jag har retat ut efter att ha analyserat över 4000 attacker från 2012 till 2021.

Först finns det rekognosering, där brottslingar identifierar potentiella offer och åtkomstpunkter till deras nätverk. Detta följs av en hackare som får “initial åtkomst” med hjälp av inloggningsuppgifter som köpts på det mörka nätet eller erhållits genom bedrägeri.

När den första tillgången har uppnåtts försöker angriparna öka sina åtkomstbehörigheter, så att de kan söka efter viktiga organisationsdata som kommer att orsaka offret mest smärta när de blir stulna och hållna till lösen. Det är därför som sjukhusjournaler och polisregister ofta är mål för ransomware-attacker. Dessa viktiga data extraheras och sparas av brottslingar – allt innan någon ransomware installeras och aktiveras.

Därefter kommer offertorganisationens första tecken på att de har attackerats: ransomware används och låser organisationer från deras viktigaste data. Offret utnämns snabbt och skäms via ransomware-gängets läckwebbplats, som ligger på det mörka nätet. Det “pressmeddelandet” kan också innehålla hot om att dela stulna känsliga uppgifter, i syfte att skrämma offret till att betala lösenkravet.

En låsskärm för ransomware
Offren för ransomware-attacker presenteras vanligtvis med en skärm som denna.
TechnoLlama, CC BY

Framgångsrika ransomware-attacker ser att lösen betalas i kryptovaluta, vilket är svårt att spåra, och konverteras och tvättas till fiatvaluta. Cyberbrottslingar investerar ofta intäkterna för att förbättra deras förmåga – och betala medlemsförbund – så att de inte fastnar.

Ekosystemet för it-brottslighet

Även om det är möjligt att en lämplig skicklig gärningsmän kan utföra var och en av funktionerna, är det mycket osannolikt. För att minska risken för att fångas tenderar gärningsgrupper att utveckla och behärska specialistkunskaper för olika stadier av en attack. Dessa grupper drar nytta av detta ömsesidiga beroende eftersom det kompenserar straffrättsligt ansvar i varje steg.

Och det finns gott om specialiseringar i cyberbrott underjorden. Det finns spammare som hyr ut spamware-as-a-service-programvara som phishers, scammers och bedragare använder för att stjäla människors referenser och databrokers som handlar med dessa stulna detaljer på det mörka nätet.

De kan köpas av “inledande åtkomstmäklare”, som är specialiserade på att få första inträde till datorsystem innan de säljer dessa åtkomstuppgifter till blivande ransomware-angripare. Dessa angripare engagerar sig ofta med crimeware-as-a-service-mäklare, som hyr ut ransomware-as-a-service-programvara liksom annan skadlig skadlig kod.

För att samordna dessa grupper tillhandahåller darkmarketeers onlinemarknader där brottslingar öppet kan sälja eller handla tjänster, vanligtvis via Tor-nätverket på det mörka nätet. Monetisers är där för att tvätta kryptovaluta och göra den till fiatvaluta, medan förhandlare, som representerar både offret och gärningsmannen, anställs för att reglera lösenbeloppet.

Detta ekosystem utvecklas ständigt. Till exempel har en ny utveckling varit framväxten av “ransomware-konsulten”, som tar ut en avgift för att ge råd till gärningsmän i viktiga stadier av en attack.

Att gripa gärningsmän

Regeringar och brottsbekämpande myndigheter verkar ha ökat sina ansträngningar för att ta itu med ransomware-brottslingar, efter ett år som fördärvas av deras fortsatta attacker. När G7 träffades i Cornwall i juni 2021 samordnade ukrainska och sydkoreanska polisstyrkor för att arrestera delar av det ökända CL0P-ransomware-gänget. Samma vecka dömdes den ryska medborgaren Oleg Koshkin av en amerikansk domstol för att ha drivit en krypteringstjänst för skadlig kod som kriminella grupper använder för att utföra cyberattacker utan att upptäckas av antiviruslösningar.

Även om denna utveckling är lovande är ransomware-attacker ett komplext brott som involverar ett distribuerat nätverk av gärningsmän. Eftersom brottslingarna har finpussat sina metoder har lagstiftare och experter på cybersäkerhet försökt hålla takten. Men den relativa oflexibiliteten hos polisarrangemang och bristen på en nyckelbrytare (herr eller fru Big) att arrestera, kan alltid hålla dem ett steg bakom cyberbrottslingar – även om ett utlämningsavtal träffas mellan USA och Ryssland.Konversationen

Den här artikeln publiceras på nytt från The Conversation under en Creative Commons-licens. Läs originalartikeln.

____
Läs mer:
– Nya Crypto FUD-runda inkommande som amerikansk skott för Ransomware Crackdown
– Bitcoin Ransomware-hackingoffer hackar hackarna

– Victim Stung för BTC 22 som DoppelPaymer Scammers hävdar senaste offer
– Hack Forces Travel Company att betala 4,6 miljoner USD i Bitcoin Ransom

– Hackare attackerar telekom Argentina, efterfrågan 7,5 miljoner USD i Monero
– UK Court fryser ett Ransomware-länkat Bitcoin-konto på Bitfinex



Source link