Moneybird Ransomware
El grup de pirates informàtics iranià Agrius, també conegut com Pink Sandstorm i abans Americium, ha desenvolupat recentment una nova varietat de ransomware anomenada Moneybird. S'ha observat que aquest programari maliciós amenaçador s'adreça específicament a organitzacions israelianes, cosa que significa un canvi significatiu en les tàctiques d'Agrius.
Taula de continguts
Els cibercriminals amplien el seu arsenal amenaçador
Agrius té un historial de dur a terme atacs destructius d'esborrat de dades contra entitats israelianes, sovint disfressant-los com a incidents de ransomware. L'aparició de Moneybird, codificat en C++, mostra l'experiència creixent del grup i el compromís constant per crear noves eines cibernètiques.
Les activitats del grup es remunten almenys al desembre de 2020, quan Agrius va estar involucrat en interrompre els intents d'intrusió dirigits a les indústries de diamants a Sud-àfrica, Israel i Hong Kong. Anteriorment, Agrius va utilitzar un programari de neteja convertit en ransomware anomenat Apostle, basat en el framework .NET, i el seu successor anomenat Fantasy. Tanmateix, Moneybird representa un avenç significatiu per al grup, ja que mostra les seves capacitats cibernètiques en evolució a través del seu llenguatge de programació C++.
Els actors de l'amenaça exploten les vulnerabilitats de seguretat per obtenir accés
La metodologia d'atac emprada pel ransomware Moneybird demostra un alt nivell de sofisticació, començant per l'explotació de les vulnerabilitats presents als servidors web orientats a Internet. Aquesta explotació inicial ofereix als atacants un punt d'entrada crucial a la xarxa de l'organització objectiu, facilitat pel desplegament d'un shell web ASPXSpy.
Un cop dins de la xarxa compromesa, l'intèrpret d'ordres web serveix com a canal de comunicació perquè els atacants executin una sèrie d'eines conegudes específicament adaptades per dur a terme un ampli reconeixement de l'entorn de la víctima. Aquestes eines permeten als atacants moure's lateralment dins de la xarxa, reunir credencials valuoses i exfiltrar dades sensibles.
El ransomware Moneybird està equipat amb capacitats avançades de xifratge
Després de la fase inicial d'infiltració i reconeixement, el Moneybird Ransomware s'activa a l'amfitrió compromès. Aquest ransomware està dissenyat amb un enfocament específic a xifrar fitxers sensibles situats a la carpeta "F:\User Shares". Després de l'execució, el ransomware desplega una nota de rescat, posant una pressió immensa sobre les víctimes perquè estableixin contacte en un període de 24 hores, advertint-les de la possible filtració pública de les seves dades robades.
El ransomware Moneybird utilitza una metodologia de xifratge molt sofisticada, utilitzant AES-256 amb GCM (Galois/Counter Mode). Aquesta tècnica de xifratge avançada genera claus de xifratge úniques per a cada fitxer i afegeix metadades xifrades al final. L'orientació de precisió i el xifratge robust implementat per Moneybird fan que la tasca de restauració de dades i desxifrat de fitxers sigui extremadament difícil, si no gairebé impossible, en la majoria dels casos.
Mesures de seguretat importants per aturar un atac de ransomware
Es poden implementar mesures de seguretat efectives per protegir els dispositius i les dades dels atacs de ransomware. En primer lloc, és essencial mantenir un programari de seguretat robust i actualitzat. L'actualització periòdica dels programes anti-malware, juntament amb l'habilitació d'actualitzacions automàtiques, ajuda a protegir-se de les últimes amenaces.
La implementació de contrasenyes fortes i úniques per a tots els comptes és un altre pas crucial. Això inclou utilitzar una combinació de lletres, números i símbols, així com evitar contrasenyes comunes i fàcilment endevinables. A més, habilitar l'autenticació multifactorial afegeix una capa addicional de seguretat ja que requereix passos de verificació addicionals per accedir als comptes.
Fer còpies de seguretat regularment de les dades rellevants és vital per mitigar l'impacte d'un atac de ransomware. La creació de còpies de seguretat fora de línia o l'ús de solucions d'emmagatzematge al núvol garanteix que els fitxers crítics es puguin recuperar en cas de xifratge o pèrdua.
És essencial ser prudent mentre navegueu per Internet i interactueu amb els correus electrònics. Els usuaris haurien de mostrar escepticisme quan facin clic a enllaços sospitosos o baixin fitxers de fonts no fiables. És crucial estar alerta i evitar visitar llocs web potencialment nocius o interactuar amb correus electrònics sospitosos, ja que poden contenir càrregues útils de ransomware.
Educar-se i mantenir-se informat sobre les últimes amenaces i tècniques d'atac a la ciberseguretat és molt beneficiós. Reconèixer les tàctiques d'enginyeria social habituals que s'utilitzen en atacs de pesca i ser conscients dels signes d'una possible infecció per ransomware pot ajudar els usuaris a prendre mesures proactives per prevenir i respondre a aquests atacs.
L'actualització regular dels sistemes operatius, les aplicacions i el microprogramari és un altre aspecte vital per mantenir una seguretat sòlida. Els pedaços i les actualitzacions sovint inclouen correccions de seguretat que aborden les vulnerabilitats que podrien ser explotades pel ransomware i altres programes maliciosos.
Mitjançant una combinació d'aquestes mesures de seguretat, els usuaris poden millorar la protecció dels seus dispositius i dades contra l'impacte devastador dels atacs de ransomware.
