Оферта за отстъпка за множество лицензи
База данни за заплахи Ransomware NailaoLocker рансъмуер

NailaoLocker рансъмуер

До Mezo през Ransomwareг
Превод на:
български език

Постоянно променящият се сценарий на кибернетични заплахи прави изключително важно хората и институциите да предприемат проактивни стъпки за защита на своите цифрови активи. Сред многото видове вреден софтуер, циркулиращ онлайн, рансъмуерът остава един от най-разрушителните. Рансъмуерът NailaoLocker, сравнително ново допълнение към нарастващия списък от заплахи, базирани на криптиране, е наблюдаван, насочен към организации, особено в Европа. Разбирането как работи и как да се защитим от него е от решаващо значение за минимизиране на потенциалните щети.

Как работи рансъмуерът NailaoLocker

Рансъмуерът NailaoLocker е написан на езика за програмиране C++ и е предназначен за криптиране на файлове на заразени устройства. Веднъж активиран, той систематично заключва файловете и добавя разширение „.locked“ към техните имена. Например, документ с име „report.doc“ ще бъде преименуван на „report.doc.locked“, което го прави недостъпен за жертвата. След завършване на процеса на криптиране рансъмуерът оставя бележка за откуп, съдържаща указания как да си възвърнете достъпа до засегнатите файлове.

Жертвите са информирани, че данните им ще бъдат възстановени само ако платят откуп в биткойни. Бележката предупреждава, че неизпълнението на изискванията на нападателите в рамките на една седмица ще доведе до окончателно изтриване на файла. Освен това предупреждава срещу опити за ръчно дешифриране или модифициране на заключените файлове, тъй като подобни действия могат да доведат до допълнителна загуба на данни.

Връзки към предишни киберпрестъпни дейности

NailaoLocker е наблюдаван при атаки, които имат сходства с тези, организирани от известни китайски заплахи. Въпреки че не е направено пряко приписване, изследователите спекулират, че този ransomware може да се управлява от група с връзки в Китай. Интересното е, че докато повечето съвременни кампании за рансъмуер използват двойни тактики за изнудване – кражба на чувствителни данни преди криптирането им – NailaoLocker не споменава изрично ексфилтрирането на информация в своето съобщение за откуп. Доказателствата обаче сочат, че се опитва да събере системни данни, вероятно за целите на събиране на разузнавателна информация.

Техническите ограничения на NailaoLocker

Въпреки че е разрушителна заплаха, NailaoLocker няма някои от усъвършенстваните функции, открити в по-напредналите щамове рансъмуер. Той не използва техники за отстраняване на грешки, нито се опитва да деактивира основни системни процеси, преди да започне криптиране. Това ограничение поражда опасения, че рансъмуерът може по невнимание да направи заразена система неработеща чрез криптиране на критични файлове, необходими за нейната функционалност.

Как NailaoLocker заразява системи

NailaoLocker е свързан с атаки, които използват уязвимости в софтуера Check Point VPN, по-специално пропускът, проследен като „CVE-2024-24919“. Изследователите откриха, че рансъмуерът е бил внедрен на компрометирани системи чрез други злонамерени инструменти, като злонамерения софтуер ShadowPad и троянския кон за отдалечен достъп PlugX (RAT). Тези заплахи предоставиха на нападателите отдалечен достъп до целевите машини, което им позволи да изпълнят NailaoLocker и да започнат процеса на криптиране.

Рансъмуерът обаче често се разпространява с помощта на множество тактики за разпространение. Често срещаните вектори на инфекция включват:

  • Измамни имейл прикачени файлове и връзки във фишинг съобщения
  • Изтегляния от компрометирани или измамни уебсайтове
  • Използване на уязвимости в остарял софтуер и мрежова инфраструктура
  • Фалшиви софтуерни актуализации и пиратски програми
  • Троянизирани приложения, които изглеждат легитимни, но съдържат скрити заплахи
  • Неоторизиран отдалечен достъп, разрешен чрез слаби пароли или изтичане на идентификационни данни

Защо плащането на откупа е рисковано

За жертвите на рансъмуер атаки възстановяването на криптирани файлове често е невъзможно без ключа за декриптиране, държан от нападателите. За съжаление, плащането на искания откуп не гарантира, че обещаният инструмент за дешифриране ще бъде предоставен. Киберпрестъпниците нямат задължение да изпълнят своята част от сделката и някои жертви се оказват плащащи големи суми само за да получат нефункционален или непълен софтуер за дешифриране. Освен това плащанията на откуп насърчават продължаването на тази незаконна дейност, финансирайки по-нататъшни киберпрестъпления.

Най-добри практики за сигурност за защита срещу рансъмуер

Предотвратяването на инфекции с ransomware изисква многопластова стратегия за сигурност, която включва както технически защити, така и информираност на потребителите. Прилагайки следните най-добри практики, рискът да станете жертва на заплахи като NailaoLocker ще бъде значително намален:

  • Редовно архивиране на данни : Поддържайте множество копия на основни файлове на различни места, включително офлайн архивиране, съхранявано на външни дискове и облачно хранилище с възможности за управление на версии. Това гарантира, че дори ако файловете са криптирани, те могат да бъдат възстановени без плащане на откуп.
  • Поддържайте софтуера и системите актуализирани : Киберпрестъпниците често използват остарял софтуер, за да получат достъп до системите. Уверете се, че всички приложения, операционни системи и софтуер за сигурност се надграждат редовно с най-новите корекции.
  • Използвайте строги методи за удостоверяване : Приложете многофакторно удостоверяване (MFA) за всички чувствителни акаунти и услуги. Трябва да се използват силни, уникални пароли и идентификационните данни по подразбиране трябва да бъдат постоянно променени.
  • Внедрете контроли за мрежова сигурност : Използвайте защитни стени, системи за откриване на проникване (IDS) и решения за защита на крайни точки, за да наблюдавате мрежовата активност и да блокирате неоторизиран достъп. Ограничете инструментите за отдалечен достъп и VPN връзките само до тези, които имат нужда от тях.
  • Бъдете предпазливи при опити за фишинг : Обучете служителите и потребителите как да разпознават фишинг имейли и тактики за социално инженерство. Избягвайте достъп до непознати връзки или изтегляне на прикачени файлове от непроверени източници.
  • Ограничете потребителските привилегии : Приложете принципа на най-малките привилегии (PoLP), като ограничите административния достъп само до тези, които го изискват. Потребителите не трябва да имат възможност да инсталират софтуер, освен ако не е необходимо.
  • Деактивирайте макроси и други рискови функции : Много щамове рансъмуер се доставят чрез злонамерени макроси, вградени в документи на Office. Изключете макросите по подразбиране и ги активирайте само за надеждни файлове.
  • Използвайте бели списъци на приложения : Внедрете политики за сигурност, които предотвратяват изпълнението на неоторизирани програми. Разрешете само одобрен софтуер да работи на фирмени устройства.

    • Рансъмуерът NailaoLocker подчертава продължаващата еволюция на киберзаплахите. Той е насочен към организации, като използва софтуерни уязвимости и слаби конфигурации за сигурност. Въпреки че този конкретен ransomware може да не е най-модерният щам, способността му да криптира файлове и да прекъсва операциите не трябва да се подценява. Внедряването на силни защити за киберсигурност, поддържането на правилни резервни копия на данни и информираността за възникващи заплахи са най-добрите начини за предотвратяване на атаки с ransomware.

    Съобщения

    Открити са следните съобщения, свързани с NailaoLocker рансъмуер:

    [1.Your important files are encrypted. If you want to decrypt your files, please follow the instructions.]

    [2.Do you need file decryption service (restore your files to their original state)? If not, your files will be automatically deleted after one week.]

    [3.If you need to purchase unlocking service, please contact us and we will tell you the amount (pay with BTC)]

    [4.After you complete the payment using BTC, we will deliver the unlocking program within 24 hours. Once the program is run on the locked computer, all files will be unlocked.]

    [5.BTC purchase website:hxxps://www.coinbase.com, hxxps://www.bitfinex.com, hxxps://www.binance.com]

    [Contact us on johncollinsy@proton.me]

    [Notice:Do not delete or move locked files without unlocking them first.]

    [Notice:The encryption algorithm uses symmetric encryption, and the password is a string of characters with the same length as the Bitcoin private key. If you can crack Bitcoin, then congratulations, you can decrypt it yourself. Otherwise, please contact us to purchase our decryption tool. Don't have illusions!!!]

    Тенденция

    Quick-hp.com

    Измамни уебсайтове, Похитители на браузъри, Потенциално нежелани програми
    Цифровият пейзаж е пълен с онлайн заплахи, включително натрапчиви похитители на браузъри, които променят настройките на браузъра, за да популяризират съмнителни търсачки. Потребителите трябва да...

    Поръчка за покупка и оферта за най-добра цена Измама...

    Фишинг, Спам
    Киберпрестъпниците непрекъснато усъвършенстват своите тактики, използвайки доверието и неотложността, за да заблудят нищо неподозиращите жертви. Една такава измамна схема е имейл измамата „Поръчка за покупка и оферта на най-добра цена“. Това измамно съобщение се маскира като бизнес запитване, подвеждайки получателите да разкрият чувствителна информация чрез фишинг уебсайт. Разбирането на...

    Най-гледан

    Зареждане...