Slevová nabídka pro více licencí
Databáze hrozeb Ransomware Mortar Ransomware

Mortar Ransomware

V roce Mezo v roce Ransomware
Přeložit do:

Malware je i nadále jednou z nejvýznamnějších kybernetických hrozeb, kterým čelí organizace i jednotlivci. Moderní útoky ransomwaru mohou narušit obchodní operace, způsobit vážné finanční ztráty a ohrozit citlivé informace během několika hodin. Vzhledem k tomu, že skupiny útočící na ransomware jsou stále sofistikovanější, je pro ochranu cenných dat a zajištění kontinuity provozu nezbytné udržovat silné bezpečnostní kontroly a proaktivní obranu.

Stručný přehled o Mortar Ransomware

Mortar Ransomware je malware šifrující soubory, který identifikovali výzkumníci v oblasti kybernetické bezpečnosti. Hrozba je primárně navržena tak, aby cílila na firemní prostředí, kde se útočníci snaží maximalizovat narušení provozu a zvýšit tlak na oběti, aby zaplatily výkupné. Po nasazení v napadené síti Mortar zašifruje soubory a zanechá po sobě zprávu s výzvou k zaplacení výkupného pojmenovanou podle jedinečného identifikátoru oběti ve formátu „README-[ID oběti].txt“.

Charakteristickým rysem tohoto ransomwaru je jeho chování při přejmenování souborů. Během šifrování Mortar připojí ke každému napadenému souboru jedinečné ID oběti. Například soubor původně pojmenovaný „1.png“ se může změnit na „1.png.4RcrXfvVksS5ACA“, zatímco dokument jako „2.pdf“ by se mohl transformovat na „2.pdf.4RcrXfvVksS5ACA“. Stejný identifikátor se poté použije v názvu souboru s výkupným, čímž se vytvoří přímé spojení mezi obětí a útokem.

Proces šifrování a požadavky na výkupné

Po infiltraci sítě Mortar šifruje širokou škálu dat, včetně dokumentů, databází, fotografií a dalších cenných obchodních souborů. V oznámení o výkupném se uvádí, že útočníci k uzamčení informací oběti použili šifrovací algoritmy AES-256 a RSA-2048. Ačkoli jsou taková tvrzení mezi provozovateli ransomwaru běžná, celkový cíl zůstává stejný: znepřístupnit data bez odpovídajícího dešifrovacího klíče.

Výkupné informuje oběti, že jediný způsob, jak obnovit jejich soubory, je zakoupení dešifrovacího nástroje od útočníků. Místo stanovení fixní výše výkupného zločinci oběti nasměrují na portál založený na platformě Tor a poskytnou jim přihlašovací údaje sestávající z uživatelského jména a hesla. Tento přístup umožňuje útočníkům individuálně vyjednávat o platbách a případně upravovat požadavky na výkupné na základě vnímané hodnoty organizace oběti.

Lze obnovit zašifrované soubory?

Obnova souborů zašifrovaných ransomwarem je bez přístupu k dešifrovacímu mechanismu útočníků často extrémně obtížná. Ve vzácných situacích výzkumníci v oblasti kybernetické bezpečnosti objeví implementační chyby nebo kryptografické slabiny, které umožňují vytváření bezplatných dešifrovacích programů. Takové případy jsou však neobvyklé a oběti postižené dobře navrženým ransomwarem mají často omezené možnosti obnovy.

Zaplacení výkupného je obecně považováno za vysoce rizikové rozhodnutí. Kyberzločinci nejsou povinni poskytnout funkční dešifrovací nástroj po obdržení platby. Mnoho obětí zažilo situace, kdy byly finanční prostředky převedeny, ale nástroje pro obnovu nebyly nikdy doručeny nebo poskytnuté nástroje nedokázaly úspěšně obnovit data. Platba může proto vést k další finanční ztrátě bez záruky obnovy souborů.

Přenašeče infekce a techniky útoku

Malware se může k obětem dostat několika útočnými metodami běžně používanými v ransomwarových kampaních. Phishing zůstává jedním z nejrozšířenějších vektorů infekce. Útočníci distribuují e-maily obsahující škodlivé přílohy, jako jsou komprimované archivy, spustitelné soubory nebo dokumenty Microsoft Office s vloženými škodlivými makry. Po otevření mohou tyto soubory spustit proces nasazení ransomwaru.

Mezi další cesty infekce patří software s trojskými koňmi, falešné aktualizační mechanismy, škodlivé reklamní kampaně, nedůvěryhodné stahovací portály a pirátské aplikace distribuované neoficiálními kanály. Tyto metody zneužívají důvěru uživatelů a nedostatečné bezpečnostní kontroly k získání přístupu k systémům.

V případě cílených útoků do firem mohou útočníci používat pokročilejší techniky. Útočníci se často pokoušejí kompromitovat služby protokolu RDP (Remote Desktop Protocol) útoky hrubou silou proti slabým přihlašovacím údajům. Mohou také zneužívat neopravené zranitelnosti v systémech přístupných k internetu, aby získali počáteční oporu, než se přesunou laterálně po síti a nasadí ransomware na více zařízení současně.

Reakce na infekci malty

Jakmile je ransomware detekován, je okamžité jeho zadržení zásadní. Odstranění ransomwaru z postižených systémů pomáhá zabránit dalším šifrovacím aktivitám a snižuje riziko dalšího poškození v celém prostředí. Odstranění malwaru by se však nemělo zaměňovat s obnovou dat. Odstranění škodlivého programu automaticky neobnoví šifrované soubory.

Nejspolehlivější metodou obnovy zůstává obnovení čistých záloh vytvořených před útokem. Zálohy by měly být ukládány odděleně od produkčních systémů, aby se zabránilo šifrování úložišť záloh ransomwarem během incidentu. Organizace, které udržují bezpečné a izolované zálohy, jsou obvykle v mnohem lepší pozici pro zotavení se z útoků ransomwaru, aniž by se musely zabývat kyberzločinci.

Budování silné obrany proti ransomwaru

Efektivní ochrana před ransomwarem vyžaduje vícevrstvou bezpečnostní strategii, která kombinuje technologie, povědomí uživatelů a proaktivní údržbu. Organizace by měly pravidelně aktualizovat operační systémy, aplikace a síťová zařízení, aby eliminovaly zranitelnosti, které útočníci běžně zneužívají. Silné zásady ověřování, zejména pro služby vzdáleného přístupu, mohou výrazně snížit riziko neoprávněného přístupu.

Stejně důležité je vytvoření robustní strategie zálohování. Důležitá data by měla být kopírována na více míst, včetně offline nebo odpojených úložišť, ke kterým nelze dosáhnout z napadených systémů. Pravidelné testování záloh zajišťuje, že postupy obnovy fungují správně i v případě nouze.

Mezi klíčové bezpečnostní postupy patří:

  • Udržování častých záloh uložených na oddělených a chráněných místech.
  • Instalace bezpečnostních aktualizací a záplat, jakmile budou k dispozici.
  • Používání silných, jedinečných hesel a povolení vícefaktorového ověřování.
  • Omezení nepotřebných služeb vzdáleného přístupu a monitorování pokusů o přihlášení.
  • Školení zaměstnanců v rozpoznávání phishingových e-mailů a podezřelých příloh.
  • Nasazení renomovaných řešení pro ochranu koncových bodů a monitorování sítě.

Organizace by také měly přijmout princip nejnižších privilegií a udělit uživatelům pouze přístup nezbytný pro jejich role. Neustálé monitorování, bezpečnostní audity a plánování reakce na incidenty dále posilují odolnost proti ransomwarovým kampaním, jako je Mortar. Kombinace preventivních kontrol, schopností rychlé detekce a spolehlivých zálohovacích systémů zůstává nejúčinnější obranou proti moderním hrozbám šifrování souborů.

Závěr

Mortar Ransomware představuje vážnou hrozbu pro firemní sítě kvůli své schopnosti šifrovat cenná data, narušovat provoz a tlačit na oběti, aby za dešifrování platily. Útočníci demonstrují strukturovaný a cílený přístup přidáním jedinečných identifikátorů k šifrovaným souborům a přesměrováním obětí na specializovaný portál pro výkupné. Obnova šifrovaných souborů sice může být náročná, ale organizace, které upřednostňují silné postupy kybernetické bezpečnosti, udržují izolované zálohy a proaktivně řeší zranitelnosti, mohou podstatně snížit dopad incidentů ransomwaru a zlepšit celkovou bezpečnostní situaci.

System Messages

The following system messages may be associated with Mortar Ransomware:

--------------------------------------------
| What happened to your files?
--------------------------------------------

We breached your corporate network and encrypted the data on your computers. The encrypted data includes documents, databases, photos and more - all were encrypted using a military grade encryption algorithms (AES-256 and RSA-2048). You cannot access those files right now. But don't worry!

You can still get those files back and be up and running again in no time.

---------------------------------------------
| How to contact us to get your files back?
---------------------------------------------

The only way to restore your files is by purchasing a decryption tool loaded with a private key we created specifically for your network.

Once run on an effected computer, the tool will decrypt all encrypted files - and you can resume day-to-day operations, preferably with better cyber security in mind. If you are interested in purchasing the decryption tool contact us at hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion.

!IMPORTANT!
TO RESTORE YOUR FILES CONTACT US VIA TOR BROWSER

WEBSITE: hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion
USERNAME: sid
PASSWORD: 4RcrXfvVksS5ACA

BACKUP LINK TO SUPPORT TEAM: hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion
!!!!!!!!!!!

Trendy

Podvod s e-maily na spolupráci na LinkedInu

Phishing, Spam
Kyberzločinci stojící za podvodem s LinkedIn Collaboration se snaží nalákat příjemce něčím, co vypadá jako profesionální obchodní dotaz. E-maily údajně pocházejí od kupujícího jménem „Jonathan Spriggs“ ze společnosti Storex Trading Ltd., který údajně objevil příjemce přes LinkedIn a chce s ním prodiskutovat velkou objednávku produktů zahrnující 12 000 kusů. Aby zpráva vypadala autenticky,...

Váš e-mailový klient Microsoft Outlook je zastaralý...

Phishing, Spam
E-maily s textem „Váš e-mailový klient Microsoft Outlook je zastaralý“ jsou phishingové zprávy vytvořené tak, aby vypadaly jako oficiální bezpečnostní oznámení z Microsoft Outlooku. E-maily varují příjemce, že jejich e-mailový klient je údajně zastaralý, a tvrdí, že pokud neprovede okamžitou aktualizaci, může dojít ke ztrátě e-mailů, kontaktů, kalendářů, schůzek a dalších důležitých dat z účtu....

Nejvíce shlédnuto

Načítání...