Moneybird рансъмуер
Иранската хакерска група Agrius, известна също като Pink Sandstorm и преди Americaium, наскоро разработи нов щам рансъмуер, наречен Moneybird. Беше наблюдавано, че този заплашителен зловреден софтуер е насочен конкретно към израелски организации, което означава значителна промяна в тактиката на Agrius.
Съдържание
Киберпрестъпниците разширяват своя заплашителен арсенал
Agrius има история на извършване на разрушителни атаки за изтриване на данни срещу израелски организации, като често ги маскира като инциденти с ransomware. Появата на Moneybird, кодиран на C++, демонстрира нарастващия опит на групата и постоянния ангажимент за създаване на нови кибер инструменти.
Дейностите на групата могат да бъдат проследени най-малко до декември 2020 г., когато Агриус е участвал в пресичане на опити за проникване, насочени към диамантени индустрии в Южна Африка, Израел и Хонконг. Преди това Agrius е използвал чистачка, превърнала се в рансъмуер, наречена Apostle, базирана на .NET framework, и нейния наследник, наречен Fantasy. Въпреки това, Moneybird представлява значителен напредък за групата, тъй като демонстрира развиващите се кибер възможности чрез своя програмен език C++.
Актьорите на заплахи използват уязвимости в сигурността, за да получат достъп
Методологията на атаката, използвана от Moneybird Ransomware, демонстрира високо ниво на усъвършенстване, като се започне с експлоатацията на уязвимостите, присъстващи в уеб сървърите, насочени към интернет. Тази първоначална експлоатация предоставя на нападателите решаваща входна точка в мрежата на целевата организация, улеснена от внедряването на ASPXSpy Web shell.
Веднъж влязъл в компрометираната мрежа, уеб обвивката служи като комуникационен канал за нападателите, за да изпълнят набор от добре познати инструменти, специално пригодени за провеждане на широко разузнаване на средата на жертвата. Тези инструменти позволяват на нападателите да се движат странично в мрежата, да събират ценни идентификационни данни и да ексфилтрират чувствителни данни.
Рансъмуерът Moneybird е оборудван с разширени възможности за криптиране
След първоначалната фаза на проникване и разузнаване рансъмуерът Moneybird се активира на компрометирания хост. Този ransomware е проектиран със специфичен фокус върху криптирането на чувствителни файлове, разположени в папката „F:\User Shares“. При изпълнението рансъмуерът изпраща бележка за откуп, оказвайки огромен натиск върху жертвите да установят контакт в рамките на 24 часа, предупреждавайки ги за потенциално публично изтичане на техните откраднати данни.
Рансъмуерът Moneybird използва изключително усъвършенствана методология за криптиране, като използва AES-256 с GCM (Galois/Counter Mode). Тази усъвършенствана техника за криптиране генерира уникални ключове за криптиране за всеки файл и добавя криптирани метаданни в края. Прецизното насочване и стабилното криптиране, внедрени от Moneybird, правят задачата за възстановяване на данни и декриптиране на файлове изключително предизвикателна, ако не и почти невъзможна, в повечето случаи.
Важни мерки за сигурност за спиране на Ransomware атака
Могат да бъдат приложени ефективни мерки за сигурност, за да се предпазят устройствата и данните от атаки на ransomware. Първо, поддържането на актуален и стабилен софтуер за сигурност е от съществено значение. Редовното актуализиране на анти-зловреден софтуер програми, заедно с активирането на автоматични актуализации, помага за защита срещу най-новите заплахи.
Внедряването на силни и уникални пароли за всички акаунти е друга важна стъпка. Това включва използването на комбинация от букви, цифри и символи, както и избягване на общи и лесно отгатваеми пароли. Освен това, активирането на многофакторно удостоверяване добавя допълнителен слой сигурност, като изисква допълнителни стъпки за проверка за достъп до акаунти.
Редовното архивиране на съответните данни е от жизненоважно значение за смекчаване на въздействието на ransomware атака. Създаването на офлайн резервни копия или използването на решения за съхранение в облак гарантира, че критичните файлове могат да бъдат възстановени в случай на криптиране или загуба.
Важно е да бъдете предпазливи, докато сърфирате в интернет и взаимодействате с имейли. Потребителите трябва да проявяват скептицизъм, когато кликват върху подозрителни връзки или изтеглят файлове от ненадеждни източници. От решаващо значение е да бъдете бдителни и да избягвате да посещавате потенциално опасни уебсайтове или да се занимавате с подозрителни имейли, тъй като те може да съдържат рансъмуер.
Да се образовате и да бъдете информирани за най-новите заплахи за киберсигурността и техники за атака е много полезно. Разпознаването на обичайните тактики за социално инженерство, използвани при фишинг атаки, и осъзнаването на признаците на потенциална инфекция с ransomware може да помогне на потребителите да предприемат проактивни мерки за предотвратяване и реагиране на такива атаки.
Редовното актуализиране на операционни системи, приложения и фърмуер е друг жизненоважен аспект от поддържането на силна сигурност. Корекциите и актуализациите често включват корекции на сигурността, които адресират уязвимости, които могат да бъдат използвани от ransomware и друг зловреден софтуер.
Извършвайки комбинация от тези мерки за сигурност, потребителите могат да подобрят защитата на своите устройства и данни срещу опустошителното въздействие на атаките на ransomware.
