Антихакерски рансъмуер

Защитата на личните и бизнес данни от съвременните злонамерени заплахи вече не е по избор, а е оперативна необходимост. Операторите на рансъмуер продължават да усъвършенстват своите тактики, инструменти и схеми за социално инженерство, за да увеличат максимално смущенията и да изнудват плащания. Дори по-малки организации и домашни потребители редовно стават мишена и възстановяването може да бъде трудно или невъзможно без подготовка. AntiHacker Ransomware, член на семейството Xorist, е точно такава заплаха.

ОБЗОР НА ЗАПЛАХИТЕ И ПРОИЗХОД

AntiHacker е злонамерена програма, открита от изследователи по информационна сигурност и категоризирана в семейството на рансъмуер вирусите Xorist. Заплахите, базирани на Xorist, обикновено са изградени от набор от инструменти, които нападателите могат да персонализират, променяйки показаното съобщение за откуп, файловото разширение, езиковите елементи и други параметри. AntiHacker следва познатия принцип на Xorist: той криптира данните на жертвата и след това изисква плащане в замяна на предполагаем ключ за декриптиране.

ПОВЕДЕНИЕ И МАРКИРАНЕ НА ФАЙЛОВЕ ПРИ ШИФРИРАНЕ

След като AntiHacker компрометира система, той търси достъпни за потребителя данни на локални дискове и потенциално картографирани мрежови местоположения. Широка гама от файлови типове са насочени към документи, изображения, архиви, мултимедийни файлове и други ценни хранилища на данни. Всеки криптиран елемент се преименува чрез добавяне на низа „.antihacker2017“ в края на оригиналното име на файла. Например, файл, първоначално наречен „1.png“, става „1.png.antihacker2017“; „2.pdf“ става „2.pdf.antihacker2017“; и този модел се повтаря във всички обработени файлове. Добавеното разширение служи за две цели: то визуално сигнализира за компрометирането на жертвата и помага на рансъмуера да идентифицира кои елементи вече е обработил.

БЕЛЕЖКИ ЗА ОТКУП, ИЗСКЪСКАЩИ ПРОЗОРЦИ И СЪОБЩЕНИЯ НА ТАПЕТИ

След като завърши процедурата си за криптиране, AntiHacker променя тапета на работния плот на жертвата и пуска съобщение за откуп в два паралелни формата: изскачащ прозорец и текстов файл с име „КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt“ (на руски „КАК ДА ДЕШИФРИРАМЕ ФАЙЛОВЕ“). Съдържанието на съобщението, представено в изскачащия прозорец и текстовия файл, е едно и също. Вариантът на тапета обаче включва допълнителен език за социално инженерство, предполагаемо оправдание, че атаката е извършена, защото потребителят е посетил конкретни уебсайтове за възрастни или незаконни уебсайтове. Този подход за засрамване е предназначен да окаже натиск върху жертвите да платят бързо и тихо.

СТРАНА ПРИ КОДИРАНЕТО НА СИМВОЛИ

На системи, които не използват кирилица, текстът на искането за откуп, показан в изскачащия прозорец, може да изглежда като нечетлив безсмислен текст. Следователно жертвите могат да видят повреден прозорец със съобщение, но все пак да намерят четливите инструкции в изгубения текстов файл. Нападателите често пренебрегват подробности за локализацията; защитниците могат да използват такива артефакти, за да групират свързани инциденти.

МЕХАНИКИ НА ПРИНУДА: КЛЮЧОВИ ОГРАНИЧЕНИЯ ЗА ВХОД И ТВЪРДЕНИЯ ЗА ЗАПЛАХИ

Инструкциите за откуп гласят, че жертвите трябва да се свържат с нападателите, за да получат ключ за декриптиране. Те също така налагат ограничение с висок стрес: разрешени са само 50 опита за въвеждане на ключа, след което съобщението твърди, че криптираните данни ще бъдат загубени завинаги. Допълнителни предупреждения твърдят, че използването на инструменти за сигурност, рестартирането или изключването на машината ще направят файловете некриптируеми. Тези тактики на сплашване са често срещани в наръчниците за ransomware и целят да обезкуражат потребителите да търсят професионална помощ или да се опитват да извършат безопасни процедури за отстраняване на проблеми.

ЗАЩО ПЛАЩАНЕТО НА ОТКУПА Е РИСКОВО

Няма гаранция, че киберпрестъпниците зад AntiHacker (или който и да е ransomware) ще предоставят работещо решение за декриптиране след плащане. Жертвите, които плащат, често не получават нищо, получават счупен ключ или стават мишени за повторно изнудване. Плащането също така финансира текущи престъпни операции и стимулира по-нататъшни атаки. Разумната позиция е да избягвате плащането, когато е възможно, и да се съсредоточите върху пътища за възстановяване, които са под ваш контрол.

РЕАЛНОСТИ НА ВЪЗСТАНОВЯВАНЕТО

Премахването на AntiHacker от заразена система може да спре по-нататъшното криптиране на файлове, но не декриптира данни, които вече са били заключени. Най-надеждният път за възстановяване е възстановяването на чисти копия на засегнатите файлове от резервни копия, които са били изолирани, офлайн или по друг начин извън обсега на зловредния софтуер. Ако не съществуват жизнеспособни резервни копия, възможностите за възстановяване на данни стават силно ограничени.

ПЪРВИЧНИ ИНФЕКЦИОННИ ВЕКТОРИТЕ

Авторите на рансъмуер разчитат на същата широка екосистема за разпространение, която захранва други категории зловреден софтуер. AntiHacker не е изключение. Нападателите често маскират полезните товари като легитимен софтуер или ги обединяват с кракнати или пиратски програми, документи или инсталатори. Самото отваряне на файл с капан може да задейства верига за изтегляне или изпълнение.

• Фишинг и примамки за социално инженерство, доставяни по имейл, лични съобщения или директни съобщения със злонамерени прикачени файлове или вградени връзки.
• Изтегляния от измамни или неправомерни файлове, инициирани от компрометирани или злонамерени уебсайтове, без ясното съгласие на потребителя.
• Троянски зареждащи програми и задни врати, които тихо извличат и стартират рансъмуер след внедряването му.
• Ненадеждни източници за изтегляне, като например сайтове за безплатен софтуер, страници за хостинг на трети страни и мрежи за споделяне на файлове от типа „peer-to-peer“ (P2P).
• Онлайн измами и кампании за злонамерена реклама, които пренасочват потребителите към експлойт комплекти или измамнически полезни товари.
• Незаконни инструменти за активиране на софтуер („кракове“ / кейгени) и фалшиви софтуерни актуализации, които инсталират зловреден софтуер вместо легитимни корекции.
• Архиви (ZIP, RAR и др.), изпълними файлове (EXE, RUN и др.), скриптови файлове (напр. JavaScript) и формати на документи (PDF, Microsoft Office, OneNote и други), използвани като оръжие за стартиране на веригата за заразяване.

ОБЩ ПРЕГЛЕД НА ОТБРАНИТЕЛНАТА СТРАТЕГИЯ

Ефективната защита срещу ransomware обхваща хора, процеси и технологии. Не можете да разчитате само на един защитен контрол; приемете, че поне един слой ще се повреди. Комбинирайте информираност на потребителите, подсилени конфигурации, стриктно инсталиране на корекции, надеждни практики за архивиране и силни възможности за откриване/реагиране, за да намалите както вероятността, така и въздействието на проникване в стил AntiHacker.

• Поддържайте резервни копия на важни данни.
• Поддържайте операционните системи, приложенията и инструментите за сигурност напълно актуализирани; прилагайте корекции своевременно, особено за услуги за отдалечен достъп и споделяне на файлове.
• Използвайте реномирани решения против зловреден софтуер / откриване и реагиране в крайни точки (EDR) с поведенческо откриване на рансъмуер и възможности за автоматично връщане към предишните настройки, където това се поддържа.
• Приложете правата на потребителите с най-ниски привилегии; изпълнявайте ежедневни задачи с акаунти, които не са администратори, и ограничете достъпа за запис до споделени хранилища за данни.
• Сегментирайте мрежите и ограничете страничното движение; изолирайте хранилищата за резервни копия и критичните сървъри на отделни нива на достъп.
• Изисквайте многофакторно удостоверяване (MFA) за отдалечени влизания, привилегировани действия и конзоли за управление на резервни копия.

ЗАКЛЮЧЕНИЕ

AntiHacker Ransomware илюстрира как злонамерените лица адаптират семейства, базирани на комплекти, като Xorist, за да създават мощни, регионално насочени схеми за изнудване. Криптирането на данни, маркирането на имена на файлове, многоезичните артефакти за откуп и принудителните съобщения са проектирани да стимулират плащанията. И все пак най-силната контрамярка остава подготовката: изолирани резервни копия, многопластова защита, информирани потребители и дисциплиниран план за реагиране. Организациите и лицата, които инвестират в тези предпазни мерки, могат да превърнат потенциално катастрофално събитие, свързано с ransomware, в инцидент, който може да бъде възстановим.