Zeo Ransomware

Det er vigtigt at beskytte personlige og forretningsmæssige systemer mod destruktiv malware, da et enkelt kompromis kan føre til langvarige konsekvenser. Ransomware er fortsat en af de mest forstyrrende trusler i omløb, og Zeo Ransomware er et godt eksempel på den sofistikering, som moderne afpresningsoperationer har nået.

En ny variant med velkendte rødder

Zeo dukkede op under rutinemæssig trusselsovervågning og blev hurtigt forbundet med den langvarige Dharma ransomware-familie. Når den bryder ind i et system, krypterer den data og ændrer filnavne ved at tilføje et offerspecifikt ID, angriberens e-mailadresse og filtypenavnet '.zeo'. Et typisk eksempel er en transformeret fil som f.eks. '1.png.id-9ECFA84E.[nudasurg@tuta.io].zeo'.

Efter krypteringsfasen leverer Zeo to løsesumsnotater: et pop op-vindue med udvidede instruktioner og en almindelig tekstfil med navnet 'info.txt'. Begge understreger, at den eneste måde at genoprette adgangen på er at kontakte angriberne og betale en Bitcoin-løsesum. Pop op-beskeden forsøger at opbygge tillid ved at tilbyde en begrænset gratis dekrypteringstest, samtidig med at den truer med uoprettelig skade, hvis ofrene ændrer filer eller forsøger uafhængig gendannelse.

Sådan fungerer Zeo under motorhjelmen

Ligesom andre Dharma-varianter fokuserer Zeo på at kryptere data, der er lagret både lokalt og på netværksdelte placeringer. Systemstabiliteten bevares, da Zeo undgår manipulation med kritiske operativsystemkomponenter. For at forhindre fejl under kryptering afslutter den processer, der er knyttet til filer, der aktuelt er åbne, såsom databasemotorer og dokumentfremvisere.

Ransomwaren inkorporerer adskillige adfærdsmæssige sikkerhedsforanstaltninger. Den kontrollerer indsamlede geolokationsdata for at afgøre, om angrebene skal fortsætte, og undgår potentielt regioner, der kan være urentable eller politisk følsomme. Den inkluderer også en mekanisme, der har til formål at forhindre dobbeltkryptering, selvom udelukkelseslogikken er ufuldstændig og ikke tager højde for alle ransomware-familier.

Persistens opnås gennem to primære metoder: kopiering af sig selv til mappen %LOCALAPPDATA% og registrering af automatiske startposter under specifikke Run-nøgler. Zeo sletter desuden Volume Shadow Copies for at fjerne indbyggede gendannelsesmuligheder, som brugere ellers ville stole på.

Infektionsvektorer og spredningstaktikker

Dharma-baserede trusler infiltrerer ofte systemer via eksponerede eller dårligt sikrede Remote Desktop Protocol-tjenester. Angribere bruger brute-force- og dictionary-angreb for at få adgang, og kompromitterede systemer kan få deres firewalls svækket eller deaktiveret kort efter indtrængen.

Andre distributionsruter er fortsat udbredte. Trusselaktører er ofte afhængige af vildledende e-mails, ondsindede vedhæftede filer, kompromitterede downloads, falske opdateringer, cracks og piratkopieret indhold. Farlige nyttelaster optræder i adskillige formater, herunder arkiver, eksekverbare filer, dokumenter, JavaScript-filer og mere. I nogle tilfælde spredes malware sidelæns til andre enheder på det samme netværk eller via bærbar lagring.

Hvorfor det ikke er en sikker løsning at betale løsesummen

Ofre har sjældent de tekniske midler til at dekryptere filer, der er berørt af moderne ransomware. Medmindre malwaren indeholder en kritisk fejl, er det kun operatørerne, der besidder de nødvendige nøgler. Betaling af løsesummen garanterer dog ikke, at angriberne vil levere en fungerende dekrypteringstjeneste, og ofrene mister ofte både deres penge og data. Finansiering af sådanne operationer understøtter også yderligere kriminel aktivitet.

Fjernelse af ransomware er nødvendig for at forhindre yderligere skade, men fjernelse af Zeo gendanner ikke krypterede filer. Gendannelse er kun mulig via rene sikkerhedskopier, der er gemt på separate steder, f.eks. offline-enheder eller sikre eksterne servere.

Styrkelse af enhedssikkerhed

En lagdelt tilgang reducerer drastisk risikoen for ransomware-angreb. Følgende fremgangsmåder bidrager til at styrke den langsigtede modstandsdygtighed:

Kerneforebyggende foranstaltninger

Oprethold streng kontrol over adgang til Remote Desktop Protocol ved at bruge stærke, unikke legitimationsoplysninger, deaktivere ekstern adgang, når det er unødvendigt, og håndhæve hastighedsbegrænsende eller multifaktor-godkendelse.

Installer sikkerhedsopdateringer omgående på tværs af operativsystemet, installeret software og netværksudsatte komponenter.

Yderligere anbefalinger til bedste praksis

Opbevar pålidelige, versionsbaserede sikkerhedskopier på flere isolerede steder, herunder offline eller uforanderlig lagring.

• Brug velrenommerede sikkerhedsværktøjer til at overvåge mistænkelig aktivitet og blokere malware før udførelse.
• Vær skeptisk over for uopfordrede e-mails, vedhæftede filer og downloadtilbud, især dem der udgiver sig for at være legitime organisationer eller tilbyder gratis software.
• Undgå piratkopieret software, upålidelige downloadportaler og tvivlsomme browserbaserede reklamer.
• Begræns administratorrettigheder, når det er muligt, og sørg for, at daglige opgaver udføres med ikke-administratorkonti.

Ved at kombinere disciplineret systemhygiejne med robuste adgangskontroller og velholdte sikkerhedskopier reducerer brugerne deres eksponering for trusler som Zeo Ransomware betydeligt og er bedre forberedte på at komme sig hurtigt, hvis et angreb skulle forekomme.