AntiHacker Ransomware

Ochrana osobních a firemních dat před moderními malwarovými hrozbami již není volitelná, ale operační nutnost. Provozovatelé ransomwaru neustále zdokonalují své taktiky, nástroje a schémata sociálního inženýrství, aby maximalizovali narušení a vynucovali platby. Pravidelným cílem jsou i menší organizace a domácí uživatelé a obnova dat může být bez přípravy obtížná nebo nemožná. AntiHacker Ransomware, člen rodiny Xorist, je přesně takovou hrozbou.

PŘEHLED HROZEB A PŮVOD

AntiHacker je škodlivý program objevený výzkumníky v oblasti informační bezpečnosti a zařazený do rodiny ransomwaru Xorist. Hrozby založené na Xoristu jsou obvykle sestaveny z frameworku, který si útočníci mohou přizpůsobit a změnit zobrazenou zprávu s výzvou k výkupnému, příponu souboru, jazykové prvky a další parametry. AntiHacker se řídí známým postupem Xoristu: šifruje data oběti a poté požaduje platbu výměnou za údajný dešifrovací klíč.

CHOVÁNÍ A OZNAČOVÁNÍ ŠIFROVÁNÍ SOUBORŮ

Jakmile AntiHacker naruší systém, vyhledává uživatelsky dostupná data na lokálních discích a potenciálně i v namapovaných síťových umístěních. Cílem je napadnout širokou škálu typů souborů, dokumenty, obrázky, archivy, multimediální soubory a další cenná datová úložiště. Každá šifrovaná položka je přejmenována připojením řetězce '.antihacker2017' na konec původního názvu souboru. Například soubor původně pojmenovaný '1.png' se stane '1.png.antihacker2017'; '2.pdf' se stane '2.pdf.antihacker2017'; a tento vzorec se opakuje ve všech zpracovaných souborech. Přidaná přípona slouží dvěma účelům: vizuálně signalizuje oběti kompromitaci a pomáhá ransomwaru identifikovat, které položky již zpracoval.

VÝZVYSKYTUJÍCÍ OKNA A ZPRÁVY S VÝKUPNÝM

Po dokončení šifrovací rutiny AntiHacker upraví tapetu plochy oběti a vloží výzvu k výkupnému ve dvou paralelních formátech: vyskakovací okno a textový soubor s názvem „КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt“ (rusky „JAK DEŠIFROVAT SOUBORY“). Obsah zprávy zobrazený ve vyskakovacím okně a textovém souboru je stejný. Varianta tapety však obsahuje další jazyk sociálního inženýrství, údajné zdůvodnění, že k útoku došlo, protože uživatel navštívil konkrétní webové stránky zaměřené na dospělé nebo nelegální webové stránky. Tento zahanbující úhel pohledu je navržen tak, aby donutil oběti k rychlému a tichému zaplatění.

ZVLÁŠTNOST KÓDOVÁNÍ ZNAKŮ

V systémech, které nepoužívají cyrilici, se text výzvy k výkupnému zobrazený ve vyskakovacím okně může jevit jako nečitelný nesmysl. Oběti proto mohou vidět poškozené okno se zprávou, ale stále najdou čitelné pokyny uvnitř ztraceného textového souboru. Útočníci často přehlížejí podrobnosti o lokalizaci; obránci mohou tyto artefakty použít k seskupení souvisejících incidentů.

NÁTLAČOVACÍ MECHANIKY: KLÍČOVÉ LIMITY VSTUPU A HROZBY

Pokyny k výkupnému uvádějí, že oběti musí kontaktovat útočníky, aby získaly dešifrovací klíč. Také ukládají omezení s vysokým stresem: povoleno je pouze 50 pokusů o zadání klíče, po kterých zpráva tvrdí, že zašifrovaná data budou trvale ztracena. Další varování uvádějí, že použití bezpečnostních nástrojů, restartování nebo vypnutí počítače znemožní zašifrování souborů. Tyto zastrašovací taktiky jsou v příručkách ransomwaru běžné a jejich cílem je odradit uživatele od vyhledání odborné pomoci nebo pokusu o bezpečné postupy nápravy.

PROČ JE ZAPLACENÍ VÝKUPNÉHO RISKANTNÍ

Neexistuje žádná záruka, že kyberzločinci stojící za AntiHackerem (nebo jakýmkoli ransomwarem) po zaplacení doručí funkční dešifrovací řešení. Oběti, které zaplatí, často nedostanou nic, obdrží poškozený klíč nebo se stanou terčem opakovaného vydírání. Platba také financuje probíhající kriminální operace a motivuje k dalším útokům. Rozumným postojem je vyhnout se placení, kdykoli je to možné, a zaměřit se na cesty k obnově, které máte pod kontrolou.

REALITA ZDRAVOTNÍHO SYSTÉMU

Odstranění AntiHackeru z infikovaného systému může zastavit další šifrování souborů, ale nedešifruje data, která již byla uzamčena. Nejspolehlivější cestou k obnově je obnovení čistých kopií postižených souborů ze záloh, které byly izolované, offline nebo jinak mimo dosah malwaru. Pokud neexistují žádné životaschopné zálohy, možnosti obnovy dat jsou velmi omezené.

PRIMÁRNÍ INFEKČNÍ VEKTORY

Autoři ransomwaru se spoléhají na stejný široký distribuční ekosystém, který je základem pro další kategorie malwaru. AntiHacker není výjimkou. Útočníci často maskují datové soubory jako legitimní software nebo je balí s cracknutými nebo pirátskými programy, dokumenty nebo instalačními soubory. Pouhé otevření souboru s narušenou pastí může spustit řetězec stahování nebo spuštění.

• Phishingové a sociální inženýrské lákadla doručovaná e-mailem, soukromými zprávami nebo přímými zprávami se škodlivými přílohami nebo vloženými odkazy.
• Stahování souborů typu drive-by nebo klamavé stahování iniciované z napadených nebo škodlivých webových stránek bez jasného souhlasu uživatele.
• Trojské zavaděče a zadní vrátka, které po nainstalování tiše načítají a spouštějí ransomware.
• Nedůvěryhodné zdroje stahování, jako jsou stránky s bezplatným softwarem, hostingové stránky třetích stran a sítě pro sdílení souborů typu peer-to-peer (P2P).
• Online podvody a malware kampaně, které přesměrovávají uživatele na exploit kity nebo falešné datové soubory.
• Nelegální nástroje pro aktivaci softwaru („cracky“ / keygeny) a falešné aktualizace softwaru, které instalují malware místo legitimních záplat.

PŘEHLED OBRANNÉ STRATEGIE

Efektivní ochrana proti ransomwaru zahrnuje lidi, procesy a technologie. Nelze se spoléhat na jediný ochranný mechanismus; předpokládejte, že alespoň jedna vrstva selže. Kombinujte povědomí uživatelů, zesílené konfigurace, důsledné záplatování, robustní postupy zálohování a silné funkce detekce/reakce, abyste snížili pravděpodobnost i dopad útoku ve stylu AntiHacker.

• Uchovávejte zálohy důležitých dat.
• Udržujte operační systémy, aplikace a bezpečnostní nástroje plně aktualizované; neprodleně instalujte záplaty, zejména pro služby vzdáleného přístupu a sdílení souborů.
• Používejte renomovaná antimalwarová / koncová řešení pro detekci a reakci (EDR) s detekcí behaviorálního ransomwaru a funkcemi automatického vrácení zpět, kde je to podporováno.
• Vynucujte práva uživatelů s nejnižšími oprávněními, provádějte denní úkoly pod účty bez administrátorských práv a omezte přístup k zápisu do sdílených datových úložišť.
• Segmentujte sítě a omezte laterální pohyb; izolujte úložiště záloh a kritické servery na samostatných přístupových úrovních.
• Vyžadovat vícefaktorové ověřování (MFA) pro vzdálená přihlášení, privilegované akce a konzole pro správu záloh.

ZÁVĚR

AntiHacker Ransomware ilustruje, jak útočníci přizpůsobují rodiny kitů, jako je Xorist, k vytváření účinných, regionálně cílených vydíracích schémat. Jeho šifrování dat, označování názvů souborů, vícejazyčné artefakty výkupného a donucovací zprávy jsou navrženy tak, aby motivovaly k platbám. Nejsilnějším protiopatřením však zůstává příprava: izolované zálohy, vrstvená obrana, informovaní uživatelé a disciplinovaný plán reakce. Organizace a jednotlivci, kteří investují do těchto ochranných opatření, mohou proměnit potenciálně katastrofickou událost ransomwaru v napravitelný incident.