Рансъмуер Hype

Рансъмуерът Hype е типичен пример за съвременен зловреден софтуер за криптиране на файлове: той разбърква данните на жертвите, оставя искане за откуп и добавя отделно разширение и идентификатори към криптираните файлове. Защитата на устройствата от заплахи като Hype е от решаващо значение, защото след като криптирането приключи, файловете обикновено са невъзстановими без личния ключ на нападателя, а плащането на нападателите не предлага гаранция за възстановяване, като същевременно насърчава по-нататъшни престъпления.

Какво прави Hype — Обобщение на поведението

Анализът показва, че Hype атакува потребителски файлове и ги преименува, за да включва данните за контакт на нападателите и уникален идентификатор на жертвата, след което добавя ново разширение. В анализираните проби файловете са преименувани по модел, подобен на:
'оригиналноиме.EXT' → 'оригиналноиме.EXT.EMAIL=[ranshype@gmail.com
]ИД=[000C91DC347DF549].hype'

Изпратена е бележка за откуп с име, подобно на „hype Ransmoware.txt“; в нея се твърди, че системата е „незащитена“, предлага се „поправяне“ на ситуацията и се инструктира жертвите да изпратят тестов файл за доказателство за декриптиране. В бележката са посочени два имейл адреса на „ranshype@gmail.com“.
и „ranshype@tuta.io“ и потребителско име в Telegram (@hype20233) като средство за контакт.

Как работи атаката — Технически преглед

Hype следва обичайния жизнен цикъл на ransomware. След първоначалното изпълнение (често чрез злонамерен прикачен файл, файл за изтегляне, експлойт или кракнат софтуер), той сканира достъпното хранилище за целеви типове файлове, криптира ги със симетричен ключ, след което обикновено криптира или защитава този ключ, използвайки втори, държан от нападателя механизъм. Криптираните файлове се преименуват, за да се отбележи собствеността и да се насочат жертвите към бележката за откуп. Тъй като декриптирането изисква ключа на нападателя или предварително подготвено резервно копие, жертвите без надеждни резервни копия имат малко възможности за възстановяване.

Въздействие и възстановяване

Рансъмуер като Hype причинява загуба на данни, оперативни смущения и потенциални загуби за бизнеса надолу по веригата или регулаторни рискове. Възстановяването без резервни копия е малко вероятно: повечето криптирани файлове не могат да бъдат възстановени без инструмента за декриптиране на нападателя. На жертвите се препоръчва силно да не приемат, че плащането гарантира връщането на файловете — нападателите може да не успеят да осигурят работещо декриптиране, да изискват допълнително плащане или да използват повторно откраднати данни. Правилният път на възстановяване обикновено включва: изолиране на заразените системи, изтриване и възстановяване от известни добри резервни копия и втвърдяване на инфраструктурата, за да се предотврати повторно заразяване.

Най-добри практики за сигурност за намаляване на риска

Редовни архивирания и тествани възстановявания : пазете поне две копия на критични данни, едно локално за бързо възстановяване и едно външно или в облачна услуга, и се уверете, че архивите са изолирани, така че ransomware да не може да ги достигне. Тествайте възстановяванията често.

Управление на корекции и инвентаризация : поддържайте актуална инвентаризация на софтуера и активите и своевременно прилагайте корекции за сигурност към операционни системи, приложения и мрежови устройства.

Принцип на най-малките привилегии и сегментиране на мрежата : ограничаване на потребителските разрешения, така че само тези, които се нуждаят от достъп, да го имат; сегментиране на мрежите, така че заразена крайна точка да не може свободно да достига до резервни копия, сървъри или други сегменти.

Откриване и реагиране на крайни точки (EDR) + антивирусна защита : внедрете съвременен EDR/антивирус с поведенческо откриване, способно да блокира или предупреждава за подозрителна криптираща активност; настройте предупрежденията, за да намалите шума и да осигурите навременен човешки преглед.

Имейл и уеб сигурност : използвайте разширено филтриране на имейли, блокирайте подозрителни прикачени файлове и документи с активирани макроси и внедрете уеб филтриране, за да предотвратите достъпа на потребителите до известни злонамерени сайтове.

Многофакторно удостоверяване (MFA) : изисква MFA за отдалечен достъп, административни акаунти и облачни услуги, за да се намали рискът от поглъщане на акаунт.

Избягване на плащане и продължаване напред

Плащането на откуп е високорискова и често неефективна опция; тя не гарантира връщането на файла и служи за осигуряване на допълнителни средства за престъпни операции. Вместо това, фокусирайте ресурсите си върху ограничаване, възстановяване от сигурни резервни копия и подобряване на вашата сигурност, така че подобна атака да не може да бъде успешна отново. Ако ви липсва вътрешен капацитет, наемете реномирани фирми за реагиране при инциденти и криминалистика, които да ви помогнат, като бързите и експертни действия намаляват щетите и подобряват шансовете за пълно възстановяване.