Рансъмуер Theft

Съвременната среда за заплахи е безмилостна. Киберпрестъпниците непрекъснато усъвършенстват инструментите си, за да експлоатират неподготвени потребители. Сред най-вредните от тези заплахи е ransomware - злонамерен софтуер, който криптира данни и изнудва жертвите за пари. Един такъв нововъзникващ вариант е известен като Theft Ransomware, който вече е наблюдаван да сее хаос в нищо неподозиращи системи.

Какво прави рансъмуерът за кражба опасен

Theft Ransomware е нов щам, свързан с прословутото семейство рансъмуер вируси Dharma, група, известна с това, че атакува както физически лица, така и организации. След проникване в устройство, зловредният софтуер криптира файлове и ги преименува, като добавя:

• Уникален идентификатор на жертвата
• Имейл адресът на нападателите
• Разширението „.theft“

Например, „1.png“ става „1.png.id-9ECFA84E.[datatheft@tuta.io].theft.“

След това жертвите получават бележки с искане за откуп под формата на текстови файлове („info.txt“) и изскачащ прозорец. Докато текстовата бележка е кратка и предоставя само данни за контакт, изскачащият прозорец предлага повече подробности, включително уверение, че възстановяването на данни е възможно, ако откупът бъде платен. Нападателите дори предлагат „доказателство за декриптиране“, като позволяват безплатно възстановяване на три малки, некритични файла.

Засилвайки натиска, престъпниците твърдят, че са откраднали чувствителни бизнес данни и заплашват да ги разкрият, ако плащането бъде отказано.

Технически характеристики на заплахата

Подобно на други варианти, базирани на Dharma, Theft Ransomware не заключва цели системи, а вместо това криптира локални и споделени в мрежата файлове. Зловредният софтуер активно:

• Прекратява процеси, свързани с използвани файлове (бази данни, четци и др.)
• Копира се в пътя %LOCALAPPDATA% и регистрира постоянство чрез ключове за изпълнение
• Настройва се да се стартира автоматично при рестартиране на системата
• Изтрива скрити копия на тома, за да предотврати лесното възстановяване

Зловредният софтуер също така събира данни за геолокация, за да определи дали да продължи с криптиране, евентуално изключвайки определени региони.

Как се разпространява инфекцията

Рансъмуерът Theft използва множество тактики за проникване, като най-често срещаните са слабо защитените RDP (Remote Desktop Protocol) услуги. Атаките с груба сила и речниковите атаки срещу лошо защитени акаунти са честа входна точка. Веднъж влязъл, зловредният софтуер може дори да деактивира защитните стени, за да улесни работата си.

Други добре познати канали за дистрибуция включват:

Фишинг и социално инженерство – Злонамерени прикачени файлове или връзки в имейли, директни съобщения и публикации.

Троянски коне и задни врати – Използват се за тихо пускане на рансъмуер.

Злонамерена реклама и изтегляния от Drive-by – Задействат се просто от посещение на компрометиран уебсайт.

Подозрителни източници на софтуер – пиратски инструменти, безплатни пакети и фалшиви актуализации.

Сменяеми носители и локални мрежи – Позволяват на зловредния софтуер да се разпространява вътрешно, след като се озове в системата.

Защо плащането на откупа е рисков залог

Декриптирането на файлове, криптирани чрез Theft, без ключа на нападателя е почти невъзможно. Докато някои варианти на ransomware са погрешни, заплахите, базирани на Dharma, обикновено са солидно изградени. Важно е да се отбележи, че плащането на откупа не гарантира възстановяване и много жертви остават с празни ръце дори след прехвърляне на средства. Още по-лошо, плащането само финансира по-нататъшни престъпни операции.

Укрепване на защитата ви срещу ransomware

Най-добрият начин за борба с Theft Ransomware е превенцията. Тъй като премахването на зловредния софтуер няма автоматично да възстанови криптираните файлове, потребителите трябва да се съсредоточат върху устойчивостта и проактивната защита. Ключови практики, които всеки потребител трябва да възприеме, са:

• Редовни резервни копия – Поддържайте копия на важни файлове на множество защитени места, като например офлайн устройства и облачни услуги, които не са свързани със заразената система.
• Актуализирайте софтуера и системите – Прилагайте корекции, за да отстраните уязвимостите, които ransomware използва.
• Използвайте силно удостоверяване – Защитете RDP услугите с уникални, сложни пароли и активирайте многофакторно удостоверяване.
• Бъдете внимателни с имейли и връзки – Не отваряйте неочаквани прикачени файлове и не кликвайте върху непознати връзки, дори ако изглеждат легитимни.
• Ограничаване на администраторските права – Ограничете привилегиите, за да намалите въздействието на потенциално изпълнение на зловреден софтуер.
• Инсталирайте надеждни инструменти за сигурност – Използвайте антивирусни решения с функции за защита от рансъмуер.

• Деактивирайте макроси и скриптове – Много атаки на ransomware се задействат чрез документи или скриптове на Office.

• Сегментиране на мрежи – Предотвратяване на странично разпространение на зловреден софтуер в бизнес средата.

Заключителни мисли

Кражбата на рансъмуер вируси подчертава продължаващата еволюция на семейството Dharma и трайната му роля в глобалните рансъмуер кампании. Комбинацията от криптиране, кражба на данни и изнудване го прави особено вреден. Тъй като възстановяването на файлове често е невъзможно без чисти резервни копия, единствената истинска защита е многопластова превенция, силна киберхигиена и надеждни стратегии за възстановяване.