Anti-Hacker Ransomware

Beskyttelse af personlige og forretningsmæssige data mod moderne malware-trusler er ikke længere valgfrit, det er en operationel nødvendighed. Ransomware-operatører fortsætter med at forfine deres taktikker, værktøjer og social engineering-ordninger for at maksimere forstyrrelser og afpresse betalinger. Selv mindre organisationer og hjemmebrugere er regelmæssigt mål, og gendannelse kan være vanskelig eller umulig uden forberedelse. AntiHacker Ransomware, et medlem af Xorist-familien, er præcis sådan en trussel.

TRUSSELSOVERSIGT & AFSTAND

AntiHacker er et ondsindet program, der er opdaget af informationssikkerhedsforskere og kategoriseret inden for Xorist ransomware-familien. Xorist-baserede trusler er typisk bygget ud fra et kit-framework, som angribere kan tilpasse ved at ændre den viste løsesumsmeddelelse, filtypenavn, sprogelementer og andre parametre. AntiHacker følger den velkendte Xorist-håndbog: den krypterer offerdata og kræver derefter betaling til gengæld for en påstået dekrypteringsnøgle.

FILKRYPTERINGSADFÆRD OG -MARKERING

Når AntiHacker kompromitterer et system, søger det efter brugertilgængelige data på tværs af lokale drev og potentielt kortlagte netværksplaceringer. En bred vifte af filtyper er målrettet, dokumenter, billeder, arkiver, multimediefiler og andre værdifulde datalagre. Hvert krypteret element omdøbes ved at tilføje strengen '.antihacker2017' til slutningen af det oprindelige filnavn. For eksempel bliver en fil, der oprindeligt hed '1.png', til '1.png.antihacker2017'; '2.pdf' bliver til '2.pdf.antihacker2017'; og dette mønster gentages på tværs af alle behandlede filer. Den tilføjede udvidelse tjener to formål: den signalerer visuelt kompromitteringen til offeret og hjælper ransomware med at identificere, hvilke elementer den allerede har håndteret.

LØSEMELDINGER, POP-UPS OG BAGGRUNDSBESKEDER

Efter at have afsluttet sin krypteringsrutine ændrer AntiHacker offerets skrivebordsbaggrund og udgiver en løsesumsnota i to parallelle formater: et pop op-vindue og en tekstfil med navnet 'КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt' (russisk for 'SÅDAN DEKRYPTERER DU FILER'). Beskedindholdet, der præsenteres i pop op-vinduet og tekstfilen, er det samme. Baggrundsvarianten indeholder dog yderligere social engineering-sprog, en formodet begrundelse for, at angrebet opstod, fordi brugeren besøgte specifikke websteder med fokus på voksne eller ulovlige websteder. Denne ydmygende vinkel er designet til at presse ofrene til at betale hurtigt og stille.

TEGNKODNINGS-QUIRK

På systemer, der ikke bruger et kyrillisk tegnsæt, kan løsesumsteksten, der vises i pop op-vinduet, fremstå som ulæseligt volapyk. Ofre kan derfor se et beskadiget beskedvindue, men stadig finde de læsbare instruktioner i den slettede tekstfil. Angribere overser ofte lokaliseringsdetaljer; forsvarere kan bruge sådanne artefakter til at hjælpe med at gruppere relaterede hændelser.

TVANGSMEKANIKKER: VIGTIGE ADGANGSGRÆNSER OG TRUSSELSANKLAGELSER

Instruktionerne vedrørende løsesummen angiver, at ofrene skal kontakte angriberne for at få en dekrypteringsnøgle. De pålægger også en høj belastningsbegrænsning: kun 50 forsøg på at indtaste nøglen er tilladt, hvorefter beskeden hævder, at de krypterede data vil gå permanent tabt. Yderligere advarsler hævder, at brug af sikkerhedsværktøjer, genstart eller nedlukning af maskinen vil gøre filerne ukrypterbare. Disse skræmmetaktikker er almindelige i ransomware-strategier og har til formål at afskrække brugere fra at søge professionel hjælp eller forsøge sikre afhjælpningsprocedurer.

HVORFOR DET ER RISIKABI AT BETALE LØSEGELDET

Der er ingen garanti for, at cyberkriminelle bag AntiHacker (eller ransomware) leverer en fungerende dekrypteringsløsning efter betaling. Ofre, der betaler, modtager ofte ingenting, får en ødelagt nøgle eller bliver mål for gentagen afpresning. Betaling finansierer også løbende kriminelle operationer og giver incitamenter til yderligere angreb. Den fornuftige holdning er at undgå at betale, når det er muligt, og fokusere på gendannelsesveje under din kontrol.

REALITETER FOR GENDANNELSE

Fjernelse af AntiHacker fra et inficeret system kan stoppe yderligere filkryptering, men det dekrypterer ikke data, der allerede er blevet låst. Den mest pålidelige vej til gendannelse er at gendanne rene kopier af berørte filer fra sikkerhedskopier, der var isolerede, offline eller på anden måde uden for malwarens rækkevidde. Hvis der ikke findes brugbare sikkerhedskopier, bliver mulighederne for datagendannelse meget begrænsede.

PRIMÆRE INFEKTIONSVEKTORER

Ransomware-udviklere er afhængige af det samme brede distributionsøkosystem, der driver andre malware-kategorier. AntiHacker er ingen undtagelse. Angribere forklæder ofte nyttelast som legitim software eller samler dem med crackede eller piratkopierede programmer, dokumenter eller installationsprogrammer. Blot det at åbne en fældet fil kan udløse en download- eller udførelseskæde.

• Phishing og social engineering-lokkemidler leveret via e-mail, private beskeder eller direkte beskeder med ondsindede vedhæftede filer eller integrerede links.
• Drive-by eller vildledende downloads initieret fra kompromitterede eller ondsindede websteder uden klart samtykke fra brugeren.
• Trojanske indlæsere og bagdøre, der lydløst henter og starter ransomware, når de er integreret.
• Upålidelige downloadkilder såsom freeware-sider, tredjepartshostingsider og peer-to-peer (P2P) fildelingsnetværk.
• Onlinesvindel og malware-kampagner, der omdirigerer brugere mod exploit-kits eller uønskede nyttelast.
• Ulovlige softwareaktiveringsværktøjer ('cracks' / keygens) og falske softwareopdateringer, der installerer malware i stedet for legitime programrettelser.

OVERSIGT OVER DEFENSIV STRATEGI

Effektivt ransomware-forsvar kombinerer mennesker, processer og teknologi i lag. Du kan ikke stole på en enkelt beskyttende kontrol; antag, at mindst ét lag vil fejle. Kombiner brugerbevidsthed, hærdede konfigurationer, grundige patches, robuste backup-praksisser og stærke detektions-/responsfunktioner for at reducere både sandsynligheden for og virkningen af et AntiHacker-lignende indbrud.

• Opbevar sikkerhedskopier af vigtige data.
• Hold operativsystemer, applikationer og sikkerhedsværktøjer fuldt opdaterede; installer rettelser med det samme, især til fjernadgang og fildelingstjenester.
• Brug velrenommerede anti-malware/endpoint detection & response (EDR)-løsninger med adfærdsmæssig ransomware-detektion og automatiske rollback-funktioner, hvor det understøttes.
• Håndhæv brugerrettigheder med færrest rettigheder; udfør daglige opgaver under ikke-administratorkonti og begræns skriveadgang til delte datalagre.
• Segmenter netværk og begræns lateral bevægelse; isoler backuplagre og kritiske servere på separate adgangsniveauer.
• Kræv multifaktorgodkendelse (MFA) til fjernlogin, privilegerede handlinger og konsoller til backupadministration.

KONKLUSION

AntiHacker Ransomware illustrerer, hvordan trusselsaktører tilpasser kit-baserede familier som Xorist til at udforme potente, regionalt målrettede afpresningsordninger. Dens datakryptering, filnavnsmærkning, flersprogede løsesumsnotatartefakter og tvangsbeskeder er alle udviklet til at drive betaling. Men den stærkeste modforanstaltning forbliver forberedelse: isolerede sikkerhedskopier, lagdelt forsvar, informerede brugere og en disciplineret responsplan. Organisationer og enkeltpersoner, der investerer i disse sikkerhedsforanstaltninger, kan forvandle en potentielt katastrofal ransomware-hændelse til en hændelse, der kan genoprettes.