Slo-Tech - Južnokorejski ponudnik spletnega gostovanja Nayana sodi med podjetja, ki so izsiljevalcem plačala najvišjo odškodnino za odklep svojih datotek, ki jih je zašifriral izsiljevalski virus. Nayano je 10. junija letos napadel virus, ki je okužil 153 Linuxovih strežnikov, na katerih je gostovalo več kot 3400 strank. Po dvodnevnih pogajanjih so se s pisci virusov uspeli dogovoriti, da namesto zahtevanih 550 bitcoinov odkupnine plačajo slabih 400 bitcoinov, kar predstavlja približno milijon dolarjev.
Kot kaže, jih je napadla različica virusa Erebus, ki poišče 433 različnih vrst datotek (dokumente, slike, baze, videoposnetke itd.) in jih zašifrira. Izsiljevalci so od podjetja zahtevali 550 bitcoinov, ki pa jih podjetje ni imelo. Na koncu so se izpogajali za 397,6 bitcoinov, ki jih je Nayana plačala v treh obrokih. Toda bolj pomembno je vprašanje, kje so imeli varnostne kopije in kako so jih lahko sploh tako učinkovito in v celoti okužili.
Trend Micro ugotavlja, da so pri Nayani uporabljali prastaro programsko opremo, ki je imela polno lukenj. Uporabljali so Linuxovo jedro 2.6.42.2, ki je staro devet let, Apache in PHP pa celo iz leta 2006.
Novice » Kriptovalute » Ponudnik gostovanja plačal milijon dolarjev zaradi izsiljevalskega virusa
filip007 ::
Ne popravljaj dokler deluje, ja zdaj ne deluje in bodo popravili.
Trevor Philips Industries
harmony ::
Rad imam taksne novice. Skoda, ker jih ni vec. Mogoce bi se takrat kaj spremenilo na podrocju informacijske varnosti.
dronyx ::
Fino. Upam da ne bodo večino tega zaslužka investirali v nadaljnji razvoj novih oblik izsiljevalskih virusov. Taki kekci so razlog, da je to še vedno tako dobičkonosen posel! Mogoče bi morali uvesti zakonodajo, pa kateri so ponudniki takih storitev dolžni poskrbeti za informacijsko varnost in backup sicer v nasprotnem primeru plačajo kazen. Aja, odsotnost vsakršne regulacije je danes "in".
Zgodovina sprememb…
- spremenil: dronyx ()
Glugy ::
Daš v preventivo 200 bitcoinov za informacijsko varnost + vsako leto nekaj bitcoinov za posodabljanje pa prišparaš. Nismo več leta 2006 ko izsiljevalskih virusov praktično ni bilo. Treba se je prilagodit pa investirat.
Guzzy ::
dronyx, izsiljevalske viruse ni potrebno razvijati. Mogoče čisto malo. Po večini vsi delujejo po istih principih kot tisti izpred 10 let.
Krivi so tisti, ki ne posodabljajo svoje opreme in je ne zaščitijo. Ker pač ne potrebujejo, dokler je morajo plačat miljon $$.
Tako je bilo z WannaCry, ki sploh ni kompliciran, okužil je pa samo sisteme, ki so res v dreku in niso bili posodobljeni.
Polek tega je bil za WannaCry update zunaj par mesecev
Krivi so tisti, ki ne posodabljajo svoje opreme in je ne zaščitijo. Ker pač ne potrebujejo, dokler je morajo plačat miljon $$.
Tako je bilo z WannaCry, ki sploh ni kompliciran, okužil je pa samo sisteme, ki so res v dreku in niso bili posodobljeni.
Polek tega je bil za WannaCry update zunaj par mesecev
Zgodovina sprememb…
- spremenil: Guzzy ()
dronyx ::
dronyx, izsiljevalske viruse ni potrebno razvijati. Mogoče čisto malo. Po večini vsi delujejo po istih principih kot tisti izpred 10 let.
Oh, na tem področju je še čuda možnosti za nadaljnji razvoj in to kar straši danes se mi zdijo večinoma zelo primitivne oblike. Naslednje generacije teh izsiljevalskih virusov bodo po moje imele vgrajeno neko obliko AI, tako da ne bodo kar na slepo vse šifrirale, ampak bodo znale ugotoviti, kakšna je vsebina podatkov, do katerih imajo dostop in se na podlagi tega odločati kaj narediti. Nekaj bodo zašifrirale, kakšne patente bodo preprosto ukradle oziroma poslale avtorjem, kakšne občutljive osebne podatke in podobno bodo ukradli in zahtevali odkupnino, sicer sledi razkritje itd.
Wannacry je dokazal da se da tudi na distribuciji teh virusov še veliko narediti in ni nujno samo klasična elektronska pošta ter priponka.
Ta tule opisan primer je mogoče dokaz, da so Linux in ostali ne-Windowsi neupravičeno zapostavljeni, ker se upravljalci oziroma lastniki teh sistemov sončijo v prepričanju, da so varni na 10 let starem neposodobljenem sistemu samo zato, "ker ni Windows".
Zgodovina sprememb…
- predlagal izbris: Guzzy ()
LeQuack ::
Rad imam taksne novice. Skoda, ker jih ni vec. Mogoce bi se takrat kaj spremenilo na podrocju informacijske varnosti.
Dokler se ne bo zgodilo tebi, navkljub up to date sistemu. Aja saj res, tebi se to ne more zgoditi zaradi razlogov.
Quack !
Zgodovina sprememb…
- spremenil: LeQuack ()
fikus_ ::
Ni toliko problem v "zastarelosti" SW, kot odsotnost učinkovite varnostne kopije podatkov. Lahko imaš zadnji hit SW, Slej ko prej se najde kdo, ki najde luknjo v njem.
dronyx ::
Danes naj bi se Honda ponovno okužila z wannacry virusom. Prvič očitno lekcija ni bila dovolj.
harmony ::
Rad imam taksne novice. Skoda, ker jih ni vec. Mogoce bi se takrat kaj spremenilo na podrocju informacijske varnosti.
Dokler se ne bo zgodilo tebi, navkljub up to date sistemu. Aja saj res, tebi se to ne more zgoditi zaradi razlogov.
WTF?
Jaz dejansko bi bil vesel, da se kaj podobnega v moji firmi zgodi, ker konstantno piskam okrog varnosti, pa se nihce ne zgane. Obstajajo ze sistemi, kjer se taksni "ziro dej" kripterji lahko uspesno blokirajo, na podlagi opazovanja fajlov.
Sophos NextGen npr. to omogoca, ampak to nobenga v moji firmi ne zanima...
dronyx ::
Obstajajo ze sistemi, kjer se taksni "ziro dej" kripterji lahko uspesno blokirajo, na podlagi opazovanja fajlov.
No, meni se je že nekaj časa nazaj pojavilo vprašanje, zakaj Microsoft v Windows ne vgradi nekega mehanizma, ki bi uporabnika vsaj opozoril da nek proces šifrira datoteke in ali si tega res želi.
Looooooka ::
Rad imam taksne novice. Skoda, ker jih ni vec. Mogoce bi se takrat kaj spremenilo na podrocju informacijske varnosti.
Dokler se ne bo zgodilo tebi, navkljub up to date sistemu. Aja saj res, tebi se to ne more zgoditi zaradi razlogov.
WTF?
Jaz dejansko bi bil vesel, da se kaj podobnega v moji firmi zgodi, ker konstantno piskam okrog varnosti, pa se nihce ne zgane. Obstajajo ze sistemi, kjer se taksni "ziro dej" kripterji lahko uspesno blokirajo, na podlagi opazovanja fajlov.
Sophos NextGen npr. to omogoca, ampak to nobenga v moji firmi ne zanima...
Employee of the month material...
Guzzy ::
dronyx, izsiljevalske viruse ni potrebno razvijati. Mogoče čisto malo. Po večini vsi delujejo po istih principih kot tisti izpred 10 let.
Oh, na tem področju je še čuda možnosti za nadaljnji razvoj in to kar straši danes se mi zdijo večinoma zelo primitivne oblike. Naslednje generacije teh izsiljevalskih virusov bodo po moje imele vgrajeno neko obliko AI, tako da ne bodo kar na slepo vse šifrirale, ampak bodo znale ugotoviti, kakšna je vsebina podatkov, do katerih imajo dostop in se na podlagi tega odločati kaj narediti. Nekaj bodo zašifrirale, kakšne patente bodo preprosto ukradle oziroma poslale avtorjem, kakšne občutljive osebne podatke in podobno bodo ukradli in zahtevali odkupnino, sicer sledi razkritje itd.
Wannacry je dokazal da se da tudi na distribuciji teh virusov še veliko narediti in ni nujno samo klasična elektronska pošta ter priponka.
Ta tule opisan primer je mogoče dokaz, da so Linux in ostali ne-Windowsi neupravičeno zapostavljeni, ker se upravljalci oziroma lastniki teh sistemov sončijo v prepričanju, da so varni na 10 let starem neposodobljenem sistemu samo zato, "ker ni Windows".
Pardon, po nesreči sem predlagal izbris(dont do it)
Se strinjam, pa vendar smo na fakulteti imeli predavanje od nekoga, ki dela pri NILu, in je govoril ravno o tem in med drugim WannaCry. Da je varnost podjetij in ljudi na takem nivoju, da črvov ni potrebno nevem kako razvijati in da so prave nevarnosti drugje. Ti črvi ki šifrirajo podatke so le majhen in nepomemben del. Pokazal je tudi, kako malo sistemov se okuži s temi črvi proti številu sistemov, ki obstajajo na svetu.
Če koga več zanima, je tukaj zanimiv članek(predavanje), ki se nanaša na ta članek in večino komentarjev: LINK
Zgodovina sprememb…
- spremenil: Guzzy ()
Glugy ::
Po mojih izkušnjah Sophos fejst zapacka računalnik in ga upočasni ...sem imel slabe izkušnje z njim... vsaj 6-10 let nazaj je blo tko.
harmony ::
Furbo ::
Jaz dejansko bi bil vesel, da se kaj podobnega v moji firmi zgodi, ker konstantno piskam okrog varnosti, pa se nihce ne zgane. Obstajajo ze sistemi, kjer se taksni "ziro dej" kripterji lahko uspesno blokirajo, na podlagi opazovanja fajlov.
Sophos NextGen npr. to omogoca, ampak to nobenga v moji firmi ne zanima...
Če bi bil jaz v taki firmi, bi jo sam 'napadel' med dopustom in zakodiral vse, nato pa pokasiral kupček bitcoinov 3:)
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC
dronyx ::
Da je varnost podjetij in ljudi na takem nivoju, da črvov ni potrebno nevem kako razvijati in da so prave nevarnosti drugje.
Po moje so tarče večine teh izsiljevalskih virusov fizične osebe ali recimo kakšni s.p., ki doživijo šok ob pogledu na šifrirane datoteke in niti ne razumejo kaj pomeni varnostna kopija oziroma backup ter kje se to sploh kupi. Ampak kakorkoli je bitcoin priročen za to ima pa tudi slabost, da je plačilo kupnine za takšne primerke preveč zakomplicirano. Resna podjetja so sicer tudi ogrožena imajo pa ponavadi varnostne kopije in načine, da obnovijo podatke, tako da nekega velikega izkupička tam po moje ni. Nenazadnje je tudi wannacry dokaz za to kjer kljub velikemu obsegu okužbe je bil izplen slab.
Kraja podatkov je pa čisto druga zgodba. Pri kraji ti pa backup in ostali varnostni mehanizmi čisto nič ne pomagajo. Ko ti nekdo ukrade podatke o tvojih pacientih, njihovem zdravstvenem stanju itd. lahko privat kliniko samo še zapreš skupaj s sistemom za backup. V takem primeru pa bi po moje marsikdo razmislil o plačilu odkupnine.
Zgodovina sprememb…
- spremenil: dronyx ()
Guzzy ::
Da je varnost podjetij in ljudi na takem nivoju, da črvov ni potrebno nevem kako razvijati in da so prave nevarnosti drugje.
Po moje so tarče večine teh izsiljevalskih virusov fizične osebe ali recimo kakšni s.p., ki doživijo šok ob pogledu na šifrirane datoteke in niti ne razumejo kaj pomeni varnostna kopija oziroma backup ter kje se to sploh kupi. Ampak kakorkoli je bitcoin priročen za to ima pa tudi slabost, da je plačilo kupnine za takšne primerke preveč zakomplicirano. Resna podjetja so sicer tudi ogrožena imajo pa ponavadi varnostne kopije in načine, da obnovijo podatke, tako da nekega velikega izkupička tam po moje ni. Nenazadnje je tudi wannacry dokaz za to kjer kljub velikemu obsegu okužbe je bil izplen slab.
Kraja podatkov je pa čisto druga zgodba. Pri kraji ti pa backup in ostali varnostni mehanizmi čisto nič ne pomagajo. Ko ti nekdo ukrade podatke o tvojih pacientih, njihovem zdravstvenem stanju itd. lahko privat kliniko samo še zapreš skupaj s sistemom za backup. V takem primeru pa bi po moje marsikdo razmislil o plačilu odkupnine.
V videju omeni, da so tarče izsiljevalskih virusov vbistvu vsi. Oni "vržejo mrežo", in se ujame, kdo se pač ujame. Jaz še nimam toliko znanja da bi preveč o tem debatiral, ampak bi ti pa res priporočal ogled videja zgoraj, ker govori točno o tej temi o kateri govoriš.
dronyx ::
V videju omeni, da so tarče izsiljevalskih virusov v bistvu vsi. Oni "vržejo mrežo", in se ujame, kdo se pač ujame.
To je res, da so tarče vsi oziroma ponavadi ti virusi niso selektivni tako kot pri kakšnem ciljanem napadu. Vabo lahko dobiš tako v privat kot služben mail, lahko se okužiš na kakšni spletni strani itd. Ampak kot rečeno resne firme niti ne pomislijo na plačilo odkupnine ampak se lotijo obnove podatkov po okužbi.
Guzzy ::
V videju omeni, da so tarče izsiljevalskih virusov v bistvu vsi. Oni "vržejo mrežo", in se ujame, kdo se pač ujame.
To je res, da so tarče vsi oziroma ponavadi ti virusi niso selektivni tako kot pri kakšnem ciljanem napadu. Vabo lahko dobiš tako v privat kot služben mail, lahko se okužiš na kakšni spletni strani itd. Ampak kot rečeno resne firme niti ne pomislijo na plačilo odkupnine ampak se lotijo obnove podatkov po okužbi.
Je pa tudi tako, da podjetjem je večinokrat lažje plačati tistih 300$ ali pa par tisoč kot pa vsak mesec delati backup, ki naj bi bil veliko dražji? Ali nebi tudi obnova podatkov porabila veliko časa in denarja?
dronyx ::
Je pa tudi tako, da podjetjem je večinokrat lažje plačati tistih 300$ ali pa par tisoč kot pa vsak mesec delati backup, ki naj bi bil veliko dražji? Ali nebi tudi obnova podatkov porabila veliko časa in denarja?
To ne drži. Backup se ne dela enkrat na mesec ampak vsak dan in ponavadi imaš na kakšnem boljšem sistemu za backup stanje tudi za več 10 dni nazaj (ponavadi vsak dan shrani samo spremembe). Obnova podatkov na strežniku je pač postopek ki traja nekaj časa in so za to vnaprej določene procedure.
Pri plačilu odkupnine pa ne veš, ali boš res dobil ključ za dešifriranje, verjetno moraš še vedno razkužiti računalnike, s čemer je lahko precej dela če gre za večje število, kriminalci te lahko potem imajo za lahko tarčo, ki plača in si lahko naslednjič tarča ciljanega napada in nenazadnje, s plačilom odkupnine podpiraš ta poslovni model.
Zgodovina sprememb…
- spremenil: dronyx ()
McMallar ::
Odvisno kaj imas v backupu. Recimo za file system delamo snapshot-e vsako uro, backup na VTL dnevno, enkrat tedensko inkrementalni backup na trak (iz VTL), mesecno full backup.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25
Because OCT31 = DEC25
Zgodovina sprememb…
- spremenil: McMallar ()
SeMiNeSanja ::
Po mojih izkušnjah Sophos fejst zapacka računalnik in ga upočasni ...sem imel slabe izkušnje z njim... vsaj 6-10 let nazaj je blo tko.
Ni bil mišljen Sophos AV ampak Sophos požarna pregrada.
Saj ne rečem, imajo zelo lep GUI, ki pa se meni za resnejšo uporabo ne zdi praktičen. Ampak ljudje padajo na Wau efekt.
Poleg tega je Sophos FW razmeroma enostaven za uporabljat - za moj okus preveč enostaven, saj s tem odpadejo določene napredne možnosti, katere mi na WatchGuardu bistveno olajšajo življenje. Ampak niso vsi uporabniki 'napredni' in se potem odločajo za navidezno bolj enostavne rešitve.
V dobro se jim lahko šteje to, da so se zelo solidno odrezali na zadnjem NSS Labs primerjalnem testu požarnih pregrad. Žal pa tudi ta analiza pokaže samo določene osnovne karakteristike rešitev, nikakor pa ne pokriva področja uporabnosti in naprednih možnosti.
Kadar je govora o izsiljevalskih virusih, pa dejansko potrebuješ orodje, kateremu lahko nastaviš, da 'navadni uporabnik' že v osnovi ne more z neta prenesti izvršljivih datotek. S tem si rešil že 50% problema. Štos pa je, da večina požarnih pregrad gleda samo končnico datoteke. Če je ime.exe, potem je izvršljiva, če jo pa preimenujem v ime.txt, pa kvazi ni. Pa je res tako?
Poleg tega se danes te datoteke pogosto prenašajo preko https. Če ga ne dekriptiraš, ne boš vedel, da je uporabnik zvlekel dol izvršljivo datoteko. Še slabše pa je, kadar si skripta zvleče dodatne izvršljive komponente preko Tor omrežja - če ga nisi blokiral že v osnovi, ti nobena požarna pregrada ne bo zaznala izvršljive datoteke. Podobno velja za vse ostale tunneling protokole.
Ne zadošča, da postaviš drago škatlo in potrkaš po lesu, držiš fige, eno zmoliš,.... Treba je zadevo tudi optimalno skonfigurirat, da res lahko komunicira samo tisto, kar je za posel nujno potrebno.
Problem pa je pri kakšnem hosting providerju. Ta ne more enostavno zablokirat izvršljive datoteke, saj bi mu stranke pobegnile, če bi jim navesil cel kup omejitev. Ne vem, ali je v danem primeru bil prizadet poslovni del providerjevega omrežja ali hostani - tisti, na katerem se nahajajo resursi strank. Nekoliko nelogično se mi zdi, da bi imel omrežje toliko odprto, da bi se strežniki strank videli direktno med seboj, običajno bi tu morala biti vsaj nekakšna izolacija, da eno gnilo jabolko ne pokvari celo gajbo. Poleg tega, stranke same odgovarjajo za svoje virtualke ali hostane strežnike.
Tako se mi bolj poraja sum, da je bil prizadet poslovni del omrežja - kar pa lahko za sabo potegne tudi precejšnje težave na hostanem delu. Ampak tukaj bi se lahko veliko naredilo na preventivi. Vsekakor draga lekcija...
Samo res - kakšen hosting provider ti je to, če nima pošlihtane backup-e in ustrezen recovery plan?!? Koliko strank mu bo po tem dogodku pobegnilo k konkurentom? Bo zadevo sploh preživel?
c3p0 ::
To ne drži. Backup se ne dela enkrat na mesec ampak vsak dan in ponavadi imaš na kakšnem boljšem sistemu za backup stanje tudi za več 10 dni nazaj (ponavadi vsak dan shrani samo spremembe). Obnova podatkov na strežniku je pač postopek ki traja nekaj časa in so za to vnaprej določene procedure.
Boljše bo npr. 14 dnevnih, 4 tedenske, 6 mesečnih, potem pa še letni, ki se trajno hranijo. Vse seveda na sistemu, ki dela le delta backupe in zna sestavit stanje na nek dan, drugače je disk wastage za marsikoga prevelik.
Da ni joka in stoka, ko se direktor spomni, da je lani še imel neko datoteko, zdaj je pa več ni. Backupi pa za 10 dni nazaj.
dronyx ::
Boljše bo npr. 14 dnevnih, 4 tedenske, 6 mesečnih, potem pa še letni, ki se trajno hranijo. Vse seveda na sistemu, ki dela le delta backupe in zna sestavit stanje na nek dan, drugače je disk wastage za marsikoga prevelik.
Seveda, opcij je veliko, dnevni, tedenski, mesečni, letni...Odvisno pač od potreb in vrste podatkov, ki se jih želi varovati.
LightBit ::
harmony ::
Markoff ::
Jaz dejansko bi bil vesel, da se kaj podobnega v moji firmi zgodi, ker konstantno piskam okrog varnosti, pa se nihce ne zgane. Obstajajo ze sistemi, kjer se taksni "ziro dej" kripterji lahko uspesno blokirajo, na podlagi opazovanja fajlov.
Sophos NextGen npr. to omogoca, ampak to nobenga v moji firmi ne zanima...
Najemi revizorja informacijskih sistemov. Ni nič pametnejši od tebe, a ga uprava posluša bolj kot tebe. Je pa bolj objektiven, iz vidika uprave seveda.
Ampak revizorji so predragi, za tisti denar, ki ga oni hočejo, bi kupil 3 serverje in 6 antivirusov! Vidiš, pa si del drugega začaranega kroga...
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
Ghost7 ::
Jaz dejansko bi bil vesel, da se kaj podobnega v moji firmi zgodi, ker konstantno piskam okrog varnosti, pa se nihce ne zgane. Obstajajo ze sistemi, kjer se taksni "ziro dej" kripterji lahko uspesno blokirajo, na podlagi opazovanja fajlov.
Sophos NextGen npr. to omogoca, ampak to nobenga v moji firmi ne zanima...
Najemi revizorja informacijskih sistemov. Ni nič pametnejši od tebe, a ga uprava posluša bolj kot tebe. Je pa bolj objektiven, iz vidika uprave seveda.
Ampak revizorji so predragi, za tisti denar, ki ga oni hočejo, bi kupil 3 serverje in 6 antivirusov! Vidiš, pa si del drugega začaranega kroga...
Word...
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Pet let po vdoru v Ashley Madison izsiljevalci spet na deluOddelek: Novice / Varnost | 6231 (4520) | Golden eye |
» | Večina strokovnjakov za izsiljevalske viruse v resnici plača izsiljevalcemOddelek: Novice / Varnost | 6425 (4362) | OK.d |
» | Ponudnik gostovanja plačal milijon dolarjev zaradi izsiljevalskega virusaOddelek: Novice / Kriptovalute | 16981 (14177) | Ghost7 |
» | Izsiljevalski virusi napadajo tudi spletne strežnike na LinuxuOddelek: Novice / Kriptovalute | 12821 (10366) | filipk |
» | Izsiljevalska virusa Coinvault in Bitcryptor zlomljena, na pohodu že noviOddelek: Novice / Kriptovalute | 5823 (4914) | Markoff |