Jonathan Greig er journalist baseret i New York City.
Fuld biografisk biografisk den 16. december 2021 | Emne: Sikkerhed
Check Point Research har opdaget nye angreb rettet mod cryptocurrency-brugere i Etiopien, Nigeria, Indien og 93 andre lande. De cyberkriminelle bag angrebene bruger en variant af Phorpiex-botnettet – som Check Point kaldte “Twizt” – til at stjæle kryptovaluta gennem en proces kaldet “kryptoflipning”.
På grund af længden af tegnebogsadresser kopierer de fleste systemer en tegnebogsadresse og giver dig mulighed for blot at indsætte den under transaktioner. Med Twizt har cyberkriminelle været i stand til at erstatte den påtænkte wallet-adresse med trusselsaktørens wallet-adresse.
Forskere med Check Point sagde, at de har set 969 transaktioner opsnappet, og bemærkede, at Twizt “kan fungere uden aktive kommando- og kontrolservere, hvilket gør det muligt for den at omgå sikkerhedsmekanismer,” hvilket betyder, at hver computer, den inficerer, kan udvide botnettet.
I det sidste år har de set 3,64 Bitcoin, 55,87 Ether og $55.000 i ERC20-tokens stjålet af Twizt-operatører, svarende til omkring $500.000. I et enkelt tilfælde blev der taget 26 ETG. Mellem april 2016 og november 2021 kaprede Phorpiex-bots omkring 3.000 transaktioner til en værdi af næsten 38 Bitcoin og 133 Ether. Cybersikkerhedsfirmaet bemærkede, at dette kun var en del af angrebene, der fandt sted.
Phorpiex var oprindeligt kendt som et botnet brugt til sextortion og krypto-jacking, men udviklede sig til at inkludere ransomware. Check Point sagde, at Phorpiex har fungeret siden mindst 2016 og oprindeligt var kendt som et botnet, der fungerede ved hjælp af IRC-protokollen.
“I 2018-2019 skiftede Phorpiex til modulær arkitektur, og IRC-botten blev erstattet med Tldr – en loader styret via HTTP, der blev en vigtig del af Phorpiex botnet-infrastrukturen. I vores forskningsrapport for 2019 Phorpiex Breakdown anslog vi, at over 1.000.000 computere var inficerede med Tldr,” forklarede Check Point.
Microsofts Defender Threat Intelligence Team udgav et langt blogindlæg i maj, hvor de advarede om, at Phorpiex “begyndte at diversificere sin infrastruktur i de seneste år for at blive mere modstandsdygtig og for at levere farligere nyttelast.”
I august faldt aktiviteten på Phorpiex kommando- og kontrolservere kraftigt, og en af folkene bag botnettet postede en annonce på darknet, der tilbød kildekoden til salg. Check Points Alexey Bukhteyev fortalte The Record, at selvom kommando- og kontrolserverne var nede, kunne enhver køber af kildekoden oprette et nyt botnet ved at bruge alle de tidligere inficerede systemer.
Det er uklart, om botnettet rent faktisk blev solgt, men Check Point sagde, at kommando- og kontrolserverne var online igen på en anden IP-adresse inden for få uger. Da kommando- og kontrolserverne blev genstartet efter deres pause i august, begyndte de at distribuere Twizt, som gør det muligt for botnettet “at fungere med succes uden aktive kommando- og kontrolservere, da det kan fungere i peer-to-peer-tilstand.”
“Det betyder, at hver af de inficerede computere kan fungere som en server og sende kommandoer til andre bots i en kæde. Da et rigtig stort antal computere er forbundet til internettet via NAT-routere og ikke har en ekstern IP-adresse, Twizt-bot omkonfigurerer hjemmeroutere, der understøtter UPnP og opsætter portmapping til at modtage indgående forbindelser,” forklarede Check Point.
“Den nye bot bruger sin egen binære protokol over TCP eller UDP med to lag RC4-kryptering . Den verificerer også dataintegriteten ved hjælp af RSA og RC6-256 hash-funktion.”
Nu sagde Check Point, at de nye funktioner til Twizt får dem til at tro, at botnettet “kan blive endnu mere stabilt og derfor mere farligt.” Check Point har set angreb forblive konsekvente, selv når kommando- og kontrolserverne er inaktive. Der har været en stigning i angreb i løbet af de sidste to måneder, hvor hændelser har ramt 96 forskellige lande.
Alexander Chailytko, cybersikkerhedsforskning & innovationschef hos Check Point Software sagde, at der er to hovedrisici forbundet med den nye variant af Phorpiex.
“For det første er Tiwzt i stand til at fungere uden nogen form for kommunikation med C&C, derfor er det lettere at omgå sikkerhedsmekanismer, såsom firewalls for at gøre skade. For det andet understøtter Twizt mere end 30 forskellige kryptovaluta-punge fra forskellige blockchains, bl.a. store som Bitcoin, Ethereum, Dash, Monero,” sagde Chailytko.
“Dette giver en enorm angrebsoverflade, og dybest set kan alle, der bruger krypto, blive påvirket. Jeg opfordrer kraftigt alle kryptovalutabrugere til at dobbelttjekke de pungadresser, de kopierer og indsætter, da du meget vel kan være ved at sende din krypto ind i forkerte hænder.”
Check Point opfordrede ejere af kryptovalutaer til altid at dobbelttjekke de originale og indsatte adresser for at sikre, at de matcher. Folk bør også sende testtransaktioner før store handler.
I rapporten sagde forskere, at Phorpiex-krypteringsklipperen understøtter mere end 30 tegnebøger til forskellige blockchains. De bemærkede også, at botnet-operatørerne kan være i Ukraine på grund af beviser, der indikerer, at botten ikke kører, hvis brugerens standard-lokale-forkortelse er “UKR.”
Selvom det tjente en række forskellige formål, skal du kontrollere Points rapport siger, at Phorpiex oprindeligt ikke blev betragtet som et sofistikeret botnet.
“Alle dets moduler var enkle og udførte det minimale antal funktioner. Tidligere versioner af Tldr-modulet brugte ikke kryptering til nyttelasterne. Dette forhindrede dog ikke botnettet i at nå sine mål. Malware med funktionaliteten som en orm eller en virus kan fortsætte med at sprede sig selvstændigt i lang tid uden yderligere involvering af dens skabere,” forklarede Check Point.
“Vi viste, at en cryptocurrency clipping-teknik til et botnet af denne skala kan generere betydelige overskud (hundredetusindvis af amerikanske dollars årligt), og kræver ikke nogen form for styring gennem kommando- og kontrolservere. I det seneste år modtog Phorpiex en betydelig opdatering, der forvandlede det til et peer-to-peer botnet, der gjorde det muligt at administrere det uden at have en centraliseret infrastruktur. Kommando- og kontrolserverne kan nu ændre deres IP-adresser og udstede kommandoer og gemme sig blandt botnet-ofrene.”
Sikkerhed
Log4j trussel: Hvad du behøver at vide, og hvordan du beskytter dig selv Ransomware i 2022: Vi er alle skruet Microsoft Patch Tirsdag: Zero-day udnyttet til at sprede Emotet malware Kronos ramt med ransomware, advarer om databrud og 'flere ugers' udfald Det bedste VPN'er til små og hjemmebaserede virksomheder i 2021 Security TV | Datastyring | CXO | Datacentre