¿Por qué Sage Ransomeware pone en la lista negra League of Legends, steamapps, etc.? [cerrado]

14

Hace poco estuve leyendo el análisis de amenazas de Malwarebytes Labs para Sage Ransomware . Me pareció interesante saber que, al parecer, además de los directorios del sistema, lo que tiene sentido, las rutas a juegos como League of Legends y la ruta a los vapores de vapor están excluidas del ataque. El artículo no especula sobre por qué este es el caso, lo que me deja curioso y especulado. ¿Hay alguna razón evidente por la cual los creadores del malware hicieron esto? ¿O simplemente lo estoy pensando demasiado? ¿Es indicativo de un objetivo demográfico, un vector de ataque y / o un método de entrega? La única razón potencialmente obvia en la que puedo pensar por qué se pudo haber hecho esto es para no interrumpir a un jugador distraído, y así permitir que el proceso continúe ejecutándose en segundo plano y es menos probable que sea notado por el usuario. Sin embargo, siento que esa es una explicación demasiado simple. Me atrevería a decir que el usuario promedio de computadoras no reconocería los signos de infección, incluso si no estuvieran absortos en algún juego o tarea en el sistema. Como es intrínsecamente el caso con la gran mayoría de ransomware, el objetivo demográfico suele ser el usuario ocasional que tiene menos probabilidades de realizar una copia de seguridad de sus datos que un usuario avanzado que probablemente notaría los signos de infección, lo que hace que esta explicación parezca aún menos probable. La mayoría de los datos para muchos juegos no se almacenan localmente (con la mayoría de los datos almacenados localmente también respaldados en la nube, como es el caso de Steam) y las claves de licencia a menudo son administradas por una plataforma de distribución digital, puedo ver por qué sería casi inútil cifrar esos archivos. * Aun así, me atrevería a afirmar que cifrar esos archivos contribuiría aún más a la sensación de invasión / vulnerabilidad / pérdida experimentada por la víctima. Desde un punto de vista de ingeniería social / psicológico, esto probablemente aumentaría las posibilidades de que la víctima pague el rescate. ¿Estoy dando demasiado crédito al creador (es)? Un movimiento como este parece ser algo muy deliberado, lo que me deja muy curioso como motivación.

Reconociendo que tratar de determinar o determinar la motivación real de los codificadores de Sage para sus decisiones de programación será más una cuestión de opinión y de especulación que de hecho, mi pregunta se reduce a dos preguntas que encontré al especular:

  1. ¿A qué versiones de Windows se dirigen normalmente? Es similar a cómo se propagó WannaCry , apuntando a una amplia variedad de Sistemas operativos de Windows? ¿O estaba más enfocado en el sistema operativo del usuario doméstico (por ejemplo, XP, Vista, 7) en comparación con el sistema operativo comercial (por ejemplo, Windows Server 2000, 2008)?
  2. ¿En qué se ha difundido / eliminado Sage? Como dice el artículo, "La mayoría de las veces, Sage se elimina mediante scripts de descarga distribuidos a través de correos electrónicos de phishing". Sin embargo, dado que el artículo establece que una de las formas en que se eliminó fue un archivo JavaScript independiente, esto abre numerosos posibles vectores de ataque. Tengo curiosidad por saber si alguien está al tanto de cualquier otro vector de ataque que Sage haya usado, si es que lo hace.

* Hablando principalmente sobre juegos solo en línea como League of Legends donde la información del perfil del usuario se almacena en línea. Sin embargo, Sage excluye todas las rutas de Steamapps, que también es donde se almacena la información de guardado solo para juegos locales / para un solo jugador.

ACTUALIZACIÓN: Solo para aclarar, entiendo por qué es lógico intentar evitar el cifrado de archivos de bajo valor y fácilmente reemplazables. Sin embargo, lo que me parece interesante es la metodología utilizada por los codificadores para lograr esto. Podría decirse que podría generar una lista negra que especifique al menos un centenar de directorios donde los datos y archivos de bajo valor normalmente se almacenan para varios casos de uso. Sin embargo, los codificadores solo excluyeron las rutas de archivos muy específicas del cifrado. ¿No tendría más sentido, si su objetivo es cifrar la mayor cantidad posible de datos con el valor más alto lo más rápido posible, para tratar de apuntar el cifrado a las rutas de archivos donde se almacenan más típicamente los datos más valiosos? Esto limitaría el alcance de los archivos cifrados y aumentaría las posibilidades de captar algo lo suficientemente valioso para motivar a un usuario a pagar el rescate.

    
pregunta wjjd225 27.07.2017 - 15:48
fuente

3 respuestas

22

Supongo que estos juegos son bastante grandes (GTA V es 10s de gigabytes). Por lo tanto, llevaría un tiempo considerable cifrarlos, lo que aumenta la posibilidad de ser detectado. A menudo, estos juegos almacenan los perfiles en otro directorio que podría incluirse en el proceso de cifrado. El juego se puede reinstalar, pero el perfil podría no ser recuperable.

    
respondido por el Silver 27.07.2017 - 17:04
fuente
14

Porque no tiene sentido cifrar un archivo que puede recuperarse simplemente haciendo clic en él en Steam; especialmente uno que ocuparía su proceso de cifrado.

Comience con la premisa de que un ataque detectado se interrumpirá, en cuyo punto no se cifrarán más archivos. Otra forma de pensar esto es que, en promedio, el ransomware se ejecutará durante un tiempo limitado; digamos quince minutos (Algunas personas lo detectarán y lo apagarán después de menos de un minuto, otras dejarán que se ejecute durante horas). Además, suponga que un ataque toma tiempo para cifrar un archivo; quizás un segundo por archivo de imagen en promedio.

Los atacantes ganan su dinero solo si el dolor que infligen es tan grande que la víctima está dispuesta a negociar con ellos. ¿Cómo medimos este dolor? Si lo que cifraban era de mayor valor para la víctima. Digamos que alguien tiene 1000 archivos de imagen en su disco, 10 de los cuales son fotos insustituibles de un ser querido fallecido que tienen un gran valor sentimental. Si el encriptador llega a los 10, la víctima definitivamente pagará para recuperarlos. Si el encriptador golpea solo a uno de ellos, la víctima estará molesta, pero probablemente no pagará. Si el encriptador golpea 5 de los 10, la víctima podría pagar o no. Podríamos expresarlo como porcentaje: 1 archivo tiene un 10% de probabilidad de que paguen, 10 archivos tiene un 100% de probabilidad. *

El encriptador recorre el sistema de archivos y enumera los diversos archivos de imagen y documento, pero no sabe cuáles son los 10 más importantes que le importan a la víctima. A los efectos del ataque, todos los archivos de imagen son iguales, por lo que cualquier cosa que mejore las posibilidades de cifrar los 10 archivos sentimentales mejora las posibilidades de que se le pague el rescate. Con una ventana de quince minutos, se cifrarán unos 900 archivos.

Los juegos pueden tener archivos de imágenes y películas que contienen ilustraciones, escenas de corte y otras cosas. Digamos que la víctima tiene un juego con 1000 archivos de imagen. Pero los archivos del juego son fácilmente reemplazables: haga clic en "instalar" en Steam, y están de vuelta. Nadie pagará el rescate por esos archivos.

Por lo tanto, al excluir los archivos del juego, el atacante tiene un 90% de probabilidad de que le paguen. Si no excluye los archivos del juego, el atacante tiene un 45% de probabilidad de que le paguen.

Es sólo matemáticas.

* Sé que no todos son un 10% o 100% absoluto o lo que sea; la idea es que hay un cierto porcentaje de víctimas que tendrán más probabilidades de pagar, y eso se refleja en el análisis final. Ciertamente no es un 90% o un 45% exacto, solo que algunas personas estarán mucho más incentivadas para pagar que otras.

    
respondido por el John Deters 27.07.2017 - 18:55
fuente
4

Estos dos sistemas realizan la validación de archivos. Si su programa deja de funcionar, como usuario, intentará arreglarlo ejecutando la reparación del archivo.

Más tarde, encontrará que su sistema está cifrado con ransomware. Usted paga la multa, le dan la clave de descifrado, ejecuta el software de descifrado ...

Diez minutos más tarde, estás en su canal de soporte en IRC. "Está fallando con el mensaje de error 'Error de suma de comprobación con el archivo C: \ Steam \ User \ DewiMorgan \ PlantsVsZombies \ data.dat, error de descifrado. ¿Cómo lo soluciono?'

Como proveedor de servicios, desea minimizar los errores de descifrado y minimizar los problemas de soporte. Por lo tanto, evita el cifrado de las carpetas que causan la mayoría de los problemas de soporte.

En general, el cifrado es de bajo costo. Un atacante debe cifrar de forma predeterminada: una lista blanca no siempre captura las carpetas donde se almacenan los datos más valiosos. Ni siquiera sabe lo que un usuario individual considera valioso.

Pero hay algunas carpetas que son definitivamente:

  • Alto riesgo de sobrescritura después del cifrado, lo que da como resultado errores de descifrado.
  • Alto tiempo para encriptar, arriesgando ser atrapado antes de que llegues a Good Stuff.
  • Cero esfuerzo por reemplazar si se pierde, por lo que no es valioso: el cifrado es un desperdicio.

Entonces, mientras que una lista blanca dañaría el genero de su ataque, una lista negra tiene valor porque se defiende contra problemas específicos.

    
respondido por el Dewi Morgan 27.07.2017 - 22:29
fuente

Lea otras preguntas en las etiquetas