LockBeast рансъмуер

Рансъмуерът остава една от най-разрушителните киберзаплахи както за организациите, така и за домашните потребители. Едно успешно проникване може да блокира критични за бизнеса данни, да спре операциите и да предизвика скъпоструващи усилия за реагиране при инциденти и възстановяване. Изграждането на многопластови защити и готовност за реакция преди епидемия е разликата между контролирано събитие и криза.

РЕЗЮМЕ НА ЗАПЛАХИТЕ

След като LockBeast Ransomware бъде изпълнен, той криптира потребителските данни, променя имената на файловете, за да вгради идентификатор на жертвата, и изпраща съобщение за откуп, озаглавено „README.TXT“. Операторите съчетават криптирането с кражба на данни, за да окажат натиск върху жертвите да платят, заплашвайки да изтекат чувствителна информация, ако контактът не бъде установен в рамките на определен период.

РАБОТЕН ПРОЦЕС ЗА ШИФРИРАНЕ И ПРЕИМЕНАВАНЕ НА ФАЙЛОВЕ

По време на криптиране, LockBeast добавя както специфичен за жертвата идентификатор, така и разширението „.lockbeast“ към целевите файлове. Например, „1.png“ става „1.png.{ED08A034-A9A0-4195-3CC2-81B2521AD6B5}.lockbeast“, а „2.pdf“ става „2.pdf.{ED08A034-A9A0-4195-3CC2-81B2521AD6B5}.lockbeast“. Този модел позволява на нападателите да проследяват отделни жертви и да потвърждават плащането, преди да предоставят каквато и да е възможност за декриптиране. Процедурата за криптиране има за цел да обхване широк спектър от типове данни, включително документи, бази данни, архиви, медии и хранилища с изходен код.

ЗАПИСКА ЗА ОТКУП И ТАКТИКИ ЗА ДВОЙНО ИЗНУДВАНЕ

В бележката „README.TXT“ се твърди, че всички важни файлове са недостъпни и се твърди, че са изтеглени чувствителни записи, като история на транзакциите, лична информация на клиенти, данни за платежни карти и салда по сметки, към инфраструктурата на нападателя. Бележката предоставя данни за контакт чрез месинджъри, фокусирани върху поверителността (Session и Tox), предупреждава да не се преименуват файлове или да се използват декриптори на трети страни и определя седемдневен краен срок преди предполагаемо публикуване на данни. Това съчетава класическо изнудване за криптиране на файлове със заплахи за публично изтичане на информация, за да се увеличи натиска. Плащането остава рисковано: няма гаранция за работещо декриптиране, пълно възстановяване на данни или изтриване на открадната информация, дори ако бъде изпратен откуп.

ПЪРВОНАЧАЛНИ ВЕКТОРИТЕ ЗА ДОСТЪП И РАЗПРЕДЕЛЕНИЕ

Наблюдаваните и вероятни методи за доставка съответстват на често срещаните операции с ransomware. Злонамерените лица разпространяват инфекции чрез злонамерени прикачени файлове или връзки към имейли, троянски или пиратски софтуер и кейгени, измами за „поддръжка“ чрез социално инженерство и експлоатация на неотстранени уязвимости. Допълнителни пътища включват пренасочвания от типа „drive-by“ или „malvertising“, програми за изтегляне от трети страни, компрометирани или подобни уебсайтове, заразени сменяеми носители и споделяне на файлове от типа „peer-to-peer“. Изпълнението често започва, когато потребителят отвори изпълним файл, архив, Office или PDF документ или скрипт, който е капан.

НАСОКИ ЗА ОГРАНИЧАВАНЕ И УНИЩОЖАВАНЕ

Ако има съмнение, че LockBeast е заразил системата, действайте незабавно. Изолирайте засегнатите машини от мрежата (кабелна и безжична), за да предотвратите по-нататъшно криптиране и странично разпространение. Деактивирайте споделените устройства и отменете подозрителни токени за достъп или сесии. Запазете летливите артефакти и лог файлове за криминалистика, след което премахнете зловредния софтуер, като използвате надеждно, напълно актуализирано решение за сигурност или известна добра среда за реагиране при инциденти. Възстановявайте само от чисти, офлайн резервни копия, след като потвърдите, че заплахата е премахната; в противен случай повторното заразяване може да криптира отново възстановените данни.

ВЪЗСТАНОВЯВАНЕ И ВЪЗДЕЙСТВИЕ ВЪРХУ БИЗНЕСА

Декриптирането без инструментите на нападателите обикновено не е осъществимо, освен ако не съществуват резервни копия. Приоритизирайте възстановяването на най-важните услуги от непроменими или офлайн снимки. Отнасяйте се към всяко твърдение за изтичане на данни като достоверно, докато не се докаже противното: оценете какви данни може да са били изложени на риск, подгответе известия, ако това се изисква от закона или договора, и наблюдавайте за злоупотреби (напр. измама срещу клиенти).

ТОЧКИ ЗА РЕШЕНИЕ ОТНОСНО ПЛАЩАНЕТО

Въпреки че всеки инцидент има уникални оперативни и правни съображения, плащането на откуп финансира престъпна дейност и не предлага гаранция за пълно възстановяване на данни или за неразкриване на информация. Първо обмислете алтернативи: възстановяване от резервни копия, частично възстановяване на данни и мерки за защита на клиентите.

В крайна сметка

LockBeast комбинира агресивно криптиране със заплахи за изтичане на данни, за да принуди жертвите. Бързата изолация, дисциплинираното премахване и надеждните офлайн резервни копия са от решаващо значение за възстановяването. В дългосрочен план организациите, които инвестират в инсталиране на корекции, минимални привилегии, надежден контрол върху имейл и уеб, както и реалистична готовност за инциденти, драстично намаляват както вероятността, така и въздействието на събития, свързани с ransomware.