Perchè Sage Ransomeware lista nera League of Legends, steamapps, ecc.? [chiuso]

14

Recentemente ho letto analisi delle minacce di Malwarebytes Labs per Sage Ransomware . Ho trovato interessante apprendere che, a quanto pare, oltre alle directory di sistema, è logico escludere dall'attacco percorsi per giochi come League of Legends e il percorso verso gli steamapps. L'articolo non specula sul perché questo è il caso, il che mi lascia curioso e speculare su me stesso. C'è qualche motivo evidente per cui i creatori del malware l'hanno fatto? O lo sto solo pensando troppo? È indicativo di un target demografico, vettore di attacco e / o metodo di consegna? L'unica ragione potenzialmente ovvia a cui posso pensare perché è stato fatto questo è di non interrompere un giocatore distratto, permettendo così al processo di continuare a funzionare in background meno probabilità di essere notato dall'utente. Tuttavia, ritengo che sia una spiegazione troppo semplice. Mi azzarderei a dire che l'utente medio del computer non riconoscerebbe i segni dell'infezione anche se non fossero immersi in qualche gioco o attività sul sistema. Come è intrinsecamente il caso con la stragrande maggioranza dei ransomware, il target demografico è in genere l'utente occasionale che ha meno probabilità di eseguire il backup dei propri dati rispetto a un utente esperto che potrebbe più facilmente notare i segni dell'infezione, il che rende questa spiegazione sembrare anche meno probabile. Considerare la maggior parte dei dati per molti giochi non è memorizzato localmente (con la maggior parte dei dati che vengono archiviati localmente anche nel cloud, come nel caso di Steam) e le chiavi di licenza sono spesso gestite da una piattaforma di distribuzione digitale, posso vedere perché sarebbe quasi inutile criptare quei file. * Ancora, mi azzarderei a criptare quei file che contribuirebbero ulteriormente al senso di invasione / vulnerabilità / perdita vissuta dalla vittima. Da un punto di vista dell'ingegneria sociale / psicologica, questo probabilmente aumenterebbe le probabilità che la vittima paghi il riscatto. Sto dando troppo credito al creatore? Una mossa come questa sembra una cosa molto deliberata da fare, il che mi lascia molto curioso come motivazione.

Riconoscere che il tentativo di determinare o accertare la reale motivazione dei programmatori di Sage per le loro decisioni di programmazione sarà più una questione di opinione e speculazione che di fatti, la mia domanda si riduce a due domande che ho riscontrato speculando:

  1. Quali versioni di Windows sono in genere indirizzate? È simile a come WannaCry si diffonde , indirizzando una vasta gamma di Sistemi operativi Windows? O era più focalizzato sui SO degli utenti domestici (ad esempio XP, Vista, 7) rispetto ai sistemi operativi commerciali (ad esempio Windows Server 2000, 2008)?
  2. In che cosa è stato diffuso / lasciato Sage? Come afferma l'articolo, "Molto spesso, Sage viene rilasciato dagli script di download distribuiti tramite e-mail di phishing." Tuttavia, poiché l'articolo afferma che una delle forme in cui è stato rilasciato era un file JavaScript autonomo, questo apre numerosi potenziali vettori di attacco. Sono curioso di sapere se qualcuno è a conoscenza di altri vettori di attacco che Sage ha usato, se non del tutto.

* Parlando principalmente di giochi solo online come League of Legends in cui le informazioni del profilo dell'utente sono archiviate online. Tuttavia, Sage esclude tutti i percorsi di steamapps, che è anche il luogo in cui sono salvate le informazioni di salvataggio per i giochi locali / giocatore singolo.

AGGIORNAMENTO: Giusto per chiarire, capisco perché sia logico cercare di impedire di crittografare file di basso valore e facilmente sostituibili. Tuttavia, ciò che trovo interessante è la metodologia utilizzata dai programmatori per ottenere questo risultato. Probabilmente, è possibile generare una lista nera specifica almeno un centinaio di directory in cui i dati di basso valore e i file vengono in genere archiviati per vari casi d'uso. Tuttavia, i codificatori hanno escluso solo percorsi di file molto specifici dalla crittografia. Non avrebbe più senso se il tuo obiettivo fosse quello di crittografare il maggior numero di dati il più possibile il più rapidamente possibile, per cercare di indirizzare la crittografia ai percorsi dei file in cui i dati più preziosi sono in genere archiviati? Ciò ridurrebbe il campo di applicazione dei file crittografati e aumenterebbe le possibilità di catturare qualcosa di abbastanza prezioso da motivare un utente a pagare il riscatto.

    
posta wjjd225 27.07.2017 - 15:48
fonte

3 risposte

22

Suppongo che questi giochi siano abbastanza grandi (GTA V è 10s di gigabyte). Quindi, ci vorrebbe una notevole quantità di tempo per crittografare questi che aumenta la possibilità di essere rilevati. Spesso questi giochi memorizzano i profili in un'altra directory che potrebbe essere inclusa nel processo di crittografia. Il gioco può essere reinstallato ma il profilo potrebbe non essere recuperabile.

    
risposta data 27.07.2017 - 17:04
fonte
14

Perché è inutile crittografare un file che può essere recuperato semplicemente facendo clic su di esso in Steam; soprattutto uno che avrebbe occupato il loro processo di crittografia.

Inizia con la premessa che un attacco rilevato verrà interrotto, a quel punto nessun altro file verrà crittografato. Un altro modo di pensare a questo è che in media, il ransomware verrà eseguito per un tempo limitato; diciamo quindici minuti. (Alcune persone lo rileveranno e lo spegneranno dopo meno di un minuto, altri lo lasceranno funzionare per ore fino al completamento.) Inoltre, supponiamo che un attacco richieda tempo per crittografare un file; forse un secondo per file di immagine in media.

Gli aggressori fanno i loro soldi solo se il dolore che infliggono è così grande che la vittima è disposta a negoziare con loro. Come misuriamo questo dolore? Se ciò che hanno crittografato era di maggior valore per la vittima. Diciamo che qualcuno ha 1000 immagini sul loro disco, 10 delle quali sono foto insostituibili di una persona cara defunta che ha un grande valore sentimentale. Se il codificatore colpisce tutti e 10, la vittima pagherà sicuramente per recuperarli. Se il crittografo colpisce solo uno di loro, la vittima sarà sconvolta, ma probabilmente non pagherà. Se il codificatore colpisce 5 dei 10, la vittima potrebbe pagare, o potrebbe non farlo. Potremmo esprimerlo come percentuale: 1 file ha una probabilità del 10% che pagherà, 10 file è una possibilità del 100%. *

Il crittografo passa attraverso il file system e enumera i vari file di immagine e di documento, ma non sa quali siano i 10 più importanti a cui la vittima si preoccupa. Ai fini dell'attacco, tutti i file di immagine sono uguali, quindi qualsiasi cosa che migliori le possibilità di crittografare tutti i 10 file sentimentali migliora le probabilità che venga pagato il riscatto. Con una finestra di quindici minuti, verranno crittografati circa 900 file.

I giochi possono contenere file di immagini e filmati contenenti immagini, scene tagliate e altre cose. Diciamo che la vittima ha un gioco con 1000 file di immagine al suo interno. Ma i file di gioco sono facilmente sostituibili: fai clic su "installa" in Steam e tornano indietro. Nessuno pagherà il riscatto per questi file.

Quindi, escludendo i file di gioco, l'attaccante ha una probabilità del 90% di essere pagato. Se non esclude i file di gioco, l'autore dell'attacco ha una probabilità del 45% di essere pagato.

È solo matematica.

* So che non tutti sono in assoluto il 10% o il 100% o qualsiasi altra cosa; l'idea è che esiste una certa percentuale di vittime che saranno più propense a pagare, e ciò si riflette nell'analisi finale. Non è certo un esatto 90% o 45%, solo che alcune persone saranno molto più incentivate a pagare di altre.

    
risposta data 27.07.2017 - 18:55
fonte
4

Questi due sistemi eseguono entrambi la convalida dei file. Se il tuo programma smette di funzionare, come utente, proverai a ripararlo eseguendo la riparazione dei file.

Successivamente, si scopre che il proprio sistema è crittografato con ransomware. Paghi la multa, ti danno la chiave di decodifica, esegui il software di decrittografia ...

Dieci minuti dopo, sei sul loro canale di supporto in IRC. "Errore nel messaggio di errore" Errore di checksum con file C: \ Steam \ User \ DewiMorgan \ PlantsVsZombies \ data.dat, decrittografia non riuscita. Come posso risolverlo? "

Come fornitore di servizi, si desidera ridurre al minimo gli errori di decrittografia e ridurre al minimo i problemi di supporto. Così eviti di crittografare quelle cartelle che causano il maggior numero di problemi di supporto.

In generale, la crittografia è a basso costo. Un utente malintenzionato deve crittografare per impostazione predefinita: una lista bianca non cattura sempre le cartelle in cui sono archiviati i dati più preziosi. Non si sa nemmeno cosa sia considerato prezioso da un singolo utente.

Ma ci sono alcune cartelle che sono definitivamente:

  • Rischio elevato di sovrascrittura dopo la crittografia, con conseguenti errori di decrittografia.
  • Tempi massimi di crittografia, rischiando di essere scoperti prima di arrivare alle cose buone.
  • Zero sforzi da sostituire se persi, quindi non preziosi: la crittografia è dispendiosa.

Quindi, mentre una lista bianca può danneggiare il generismo del tuo attacco, una lista nera ha valore perché difende da problemi specifici.

    
risposta data 27.07.2017 - 22:29
fonte

Leggi altre domande sui tag