AntiHacker Ransomware

Protegir les dades personals i empresarials de les amenaces modernes de programari maliciós ja no és opcional, sinó una necessitat operativa. Els operadors de ransomware continuen refinant les seves tàctiques, eines i esquemes d'enginyeria social per maximitzar la interrupció i extorsionar pagaments. Fins i tot les organitzacions més petites i els usuaris domèstics són objectiu regular, i la recuperació pot ser difícil o impossible sense preparació. AntiHacker Ransomware, un membre de la família Xorist, és exactament una d'aquestes amenaces.

VISIÓ GENERAL DE L’AMENAÇA I LLINATGE

AntiHacker és un programa maliciós descobert per investigadors de seguretat de la informació i classificat dins de la família de ransomware Xorist. Les amenaces basades en Xorist es creen normalment a partir d'un marc de treball que els atacants poden personalitzar, canviant el missatge de rescat que es mostra, l'extensió del fitxer, els elements d'idioma i altres paràmetres. AntiHacker segueix el manual familiar de Xorist: xifra les dades de la víctima i després exigeix un pagament a canvi d'una suposada clau de desxifratge.

COMPORTAMENT I MARCATGE DE L'ENCRIPCIÓ DE FITXERS

Un cop l'AntiHacker compromet un sistema, busca dades accessibles per l'usuari a les unitats locals i potencialment també a les ubicacions de xarxa mapades. S'adreça a una àmplia gamma de tipus de fitxers: documents, imatges, arxius, fitxers multimèdia i altres magatzems de dades valuosos. Cada element xifrat es rebateja afegint la cadena ".antihacker2017" al final del nom del fitxer original. Per exemple, un fitxer originalment anomenat "1.png" esdevé "1.png.antihacker2017"; "2.pdf" esdevé "2.pdf.antihacker2017"; i aquest patró es repeteix a tots els fitxers processats. L'extensió afegida té dos propòsits: indica visualment el compromís a la víctima i ajuda el ransomware a identificar quins elements ja ha gestionat.

NOTES DE RESCAT, FINESTRES EMERGENTS I MISSATGES DE FONS DE PANTALLA

Després de completar la seva rutina d'encriptació, AntiHacker modifica el fons de pantalla de l'escriptori de la víctima i obre una nota de rescat en dos formats paral·lels: una finestra emergent i un fitxer de text anomenat "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt" (en rus, "COM DESXIFRAR FITXERS"). El contingut del missatge presentat a la finestra emergent i al fitxer de text és el mateix. Tanmateix, la variant del fons de pantalla inclou un llenguatge d'enginyeria social addicional, una suposada justificació que l'atac es va produir perquè l'usuari va visitar llocs web específics orientats a adults o il·legals. Aquest angle de vergonya està dissenyat per pressionar les víctimes perquè paguin ràpidament i discretament.

PARISICULARITAT DE LA CODIFICACIÓ DE CARÀCTERS

En sistemes que no utilitzen un conjunt de caràcters ciríl·lics, el text del rescat que es mostra a la finestra emergent pot aparèixer com un galimaties il·legible. Per tant, les víctimes poden veure una finestra de missatge corrupta però encara trobar les instruccions llegibles dins del fitxer de text perdut. Els atacants sovint passen per alt els detalls de localització; els defensors poden utilitzar aquests artefactes per ajudar a agrupar incidents relacionats.

MECÀNICA DE COERCICIÓ: LÍMITS D'ENTRADA PRINCIPALS I RECLAMACIONS D'AMENAÇES

Les instruccions del rescat indiquen que les víctimes han de contactar amb els atacants per obtenir una clau de desxifrat. També imposen una restricció d'alta tensió: només es permeten 50 intents d'introduir la clau, després dels quals el missatge afirma que les dades xifrades es perdran permanentment. Els avisos addicionals afirmen que l'ús d'eines de seguretat, el reinici o l'apagada de la màquina farà que els fitxers no es puguin xifrar. Aquestes tàctiques de por són habituals en els manuals de ransomware i tenen com a objectiu dissuadir els usuaris de buscar ajuda professional o intentar procediments de remediació segurs.

PER QUÈ PAGAR EL RESCAT ÉS ARRISCAT

No hi ha cap garantia que els ciberdelinqüents darrere d'AntiHacker (o qualsevol ransomware) ofereixin una solució de desxifratge que funcioni després del pagament. Les víctimes que paguen sovint no reben res, reben una clau trencada o es converteixen en objectiu d'extorsió repetida. El pagament també finança operacions criminals en curs i incentiva futurs atacs. La postura prudent és evitar pagar sempre que sigui possible i centrar-se en les vies de recuperació que es troben sota el vostre control.

REALITATS DE LA RECUPERACIÓ

Eliminar l'AntiHacker d'un sistema infectat pot aturar el xifratge de fitxers, però no desencripta les dades que ja han estat bloquejades. La ruta més fiable per a la recuperació és restaurar còpies netes dels fitxers afectats a partir de còpies de seguretat que estaven aïllades, fora de línia o fora de l'abast del programari maliciós. Si no existeixen còpies de seguretat viables, les opcions de recuperació de dades es tornen molt limitades.

VECTORS D'INFECCIÓ PRIMÀRIA

Els autors de ransomware es basen en el mateix ecosistema de distribució àmplia que alimenta altres categories de programari maliciós. AntiHacker no n'és una excepció. Els atacants sovint disfressen les càrregues útils com a programari legítim o les combinen amb programes, documents o instal·ladors piratejats o piratejats. El simple fet d'obrir un fitxer trampa pot desencadenar una cadena de descàrrega o execució.

• Esquers de phishing i enginyeria social lliurats per correu electrònic, missatges privats o missatges directes amb fitxers adjunts maliciosos o enllaços incrustats.
• Descàrregues enganyoses o manipulades iniciades des de llocs web compromesos o maliciosos sense el consentiment clar de l'usuari.
• Carregadors de troians i portes del darrere que recuperen i llancen silenciosament ransomware un cop integrats.
• Fonts de descàrrega no fiables com ara llocs web de programari gratuït, pàgines d'allotjament de tercers i xarxes de compartició de fitxers Peer-to-Peer (P2P).
• Estafes en línia i campanyes de publicitat maliciosa que redirigeixen els usuaris cap a kits d'explotació o càrregues útils fraudulentes.
• Eines d'activació de programari il·legal ('cracks' / keygens) i actualitzacions de programari falses que instal·len programari maliciós en lloc de pegats legítims.
• Arxius (ZIP, RAR, etc.), fitxers executables (EXE, RUN, etc.), fitxers de script (per exemple, JavaScript) i formats de documents (PDF, Microsoft Office, OneNote i altres) convertits en armes per iniciar la cadena d'infecció.

VISIÓ GENERAL DE L'ESTRATÈGIA DEFENSIVA

Una defensa eficaç contra el ransomware abasta persones, processos i tecnologia. No es pot confiar en un únic control de protecció; s'assumeix que almenys una capa fallarà. Combineu la consciència de l'usuari, configuracions reforçades, pegats rigorosos, pràctiques de còpia de seguretat robustes i unes capacitats de detecció/resposta fortes per reduir tant la probabilitat com l'impacte d'una intrusió d'estil AntiHacker.

• Mantenir còpies de seguretat de les dades importants.
• Mantingueu els sistemes operatius, les aplicacions i les eines de seguretat completament actualitzats; apliqueu els pegats amb promptitud, especialment per a serveis d'accés remot i compartició de fitxers.
• Utilitzeu solucions antimalware / detecció i resposta a endpoints (EDR) de bona reputació amb detecció de ransomware comportamental i funcions de reversió automàtica on sigui possible.
• Aplicar els drets d'usuari amb privilegis mínims; executar tasques diàries amb comptes que no siguin d'administrador i restringir l'accés d'escriptura als magatzems de dades compartits.
• Segmentar les xarxes i limitar el moviment lateral; aïllar els repositoris de còpia de seguretat i els servidors crítics en nivells d'accés separats.
• Requereix autenticació multifactor (MFA) per a inicis de sessió remots, accions privilegiades i consoles de gestió de còpies de seguretat.

CONCLUSIÓ

AntiHacker Ransomware il·lustra com els actors d'amenaces adapten famílies basades en kits com Xorist per crear esquemes d'extorsió potents i dirigits a la regió. El seu xifratge de dades, etiquetatge de noms de fitxers, artefactes de notes de rescat multilingües i missatges coercitius estan dissenyats per impulsar el pagament. Tot i això, la contramesura més forta continua sent la preparació: còpies de seguretat aïllades, defenses per capes, usuaris informats i un pla de resposta disciplinat. Les organitzacions i els individus que inverteixen en aquestes mesures de seguretat poden convertir un esdeveniment de ransomware potencialment catastròfic en un incident recuperable.