Ransomware Moneybird
Íránská hackerská skupina Agrius, známá také jako Pink Sandstorm a dříve Americium, nedávno vyvinula nový kmen ransomwaru s názvem Moneybird. Tento hrozivý malware byl pozorován zaměřený konkrétně na izraelské organizace, což znamená významný posun v taktice společnosti Agrius.
Obsah
Kyberzločinci rozšiřují svůj arzenál hrozeb
Agrius má za sebou historii provádění destruktivních útoků na vymazávání dat proti izraelským entitám, často je maskoval jako incidenty ransomwaru. Vznik Moneybird, kódovaný v C++, ukazuje rostoucí odbornost skupiny a pokračující odhodlání vytvářet nové kybernetické nástroje.
Aktivity skupiny lze vysledovat minimálně do prosince 2020, kdy se Agrius podílel na narušení pokusů o průniky zaměřené na diamantový průmysl v Jižní Africe, Izraeli a Hongkongu. Dříve Agrius využíval ransomware zvaný Apostle, založený na frameworku .NET, a jeho nástupce jménem Fantasy. Moneybird však pro skupinu představuje významný pokrok, protože předvádí své vyvíjející se kybernetické schopnosti prostřednictvím programovacího jazyka C++.
The Threat Actors využívají bezpečnostní zranitelnosti k získání přístupu
Metodika útoku použitá Moneybird Ransomware ukazuje vysokou úroveň sofistikovanosti, počínaje zneužitím zranitelností přítomných na webových serverech připojených k internetu. Toto počáteční zneužití poskytuje útočníkům klíčový vstupní bod do sítě cílové organizace, což usnadňuje nasazení webového shellu ASPXSpy.
Jakmile se webový shell dostane do kompromitované sítě, slouží útočníkům jako komunikační kanál k provádění řady dobře známých nástrojů speciálně přizpůsobených k provádění rozsáhlého průzkumu prostředí oběti. Tyto nástroje umožňují útočníkům pohybovat se v rámci sítě laterálně, získávat cenné přihlašovací údaje a exfiltrovat citlivá data.
Moneybird Ransomware je vybaven pokročilými možnostmi šifrování
Po počáteční fázi infiltrace a průzkumu se na napadeném hostiteli aktivuje Moneybird Ransomware. Tento ransomware je navržen se specifickým zaměřením na šifrování citlivých souborů umístěných ve složce „F:\User Shares“. Po spuštění ransomware nasadí výkupné, čímž vyvine na oběti obrovský tlak, aby navázaly kontakt do 24 hodin, a varují je před potenciálním veřejným únikem jejich ukradených dat.
Moneybird Ransomware využívá vysoce sofistikovanou metodologii šifrování využívající AES-256 s GCM (Galois/Counter Mode). Tato pokročilá technika šifrování generuje jedinečné šifrovací klíče pro každý soubor a na konec připojuje zašifrovaná metadata. Přesné zaměření a robustní šifrování implementované aplikací Moneybird činí úkol obnovy dat a dešifrování souborů ve většině případů extrémně náročný, ne-li téměř nemožný.
Důležitá bezpečnostní opatření k zastavení ransomwarového útoku
K ochraně zařízení a dat před útoky ransomwaru lze implementovat účinná bezpečnostní opatření. Za prvé, udržování aktuálního a robustního bezpečnostního softwaru je zásadní. Pravidelná aktualizace antimalwarových programů spolu s povolením automatických aktualizací pomáhá chránit před nejnovějšími hrozbami.
Dalším zásadním krokem je implementace silných a jedinečných hesel pro všechny účty. To zahrnuje použití kombinace písmen, čísel a symbolů, stejně jako vyhýbání se běžným a snadno uhodnutelným heslům. Povolení vícefaktorové autentizace navíc přidává další vrstvu zabezpečení tím, že vyžaduje další ověřovací kroky pro přístup k účtům.
Pravidelné zálohování relevantních dat je zásadní pro zmírnění dopadu ransomwarového útoku. Vytváření offline záloh nebo používání řešení cloudového úložiště zajišťuje, že kritické soubory lze obnovit v případě šifrování nebo ztráty.
Být opatrný při procházení internetu a interakci s e-maily je zásadní. Uživatelé by měli být skeptičtí při klikání na podezřelé odkazy nebo stahování souborů z nedůvěryhodných zdrojů. Je důležité být ostražití a vyhýbat se návštěvě potenciálně škodlivých webových stránek nebo kontaktu s podezřelými e-maily, protože mohou obsahovat ransomware.
Vzdělávat se a být informováni o nejnovějších hrozbách kybernetické bezpečnosti a technikách útoků je velmi přínosné. Rozpoznání běžných taktik sociálního inženýrství používaných při phishingových útocích a vědomí známek potenciální infekce ransomware může uživatelům pomoci přijmout proaktivní opatření k prevenci a reakci na takové útoky.
Pravidelná aktualizace operačních systémů, aplikací a firmwaru je dalším důležitým aspektem zachování silného zabezpečení. Opravy a aktualizace často obsahují opravy zabezpečení, které řeší zranitelnosti, které by mohl zneužít ransomware a další malware.
Provedením kombinace těchto bezpečnostních opatření mohou uživatelé zlepšit ochranu svých zařízení a dat před ničivým dopadem ransomwarových útoků.
