Λανσομware κατά των χάκερ

Η προστασία των προσωπικών και επιχειρηματικών δεδομένων από τις σύγχρονες απειλές κακόβουλου λογισμικού δεν είναι πλέον προαιρετική, αλλά μια επιχειρησιακή αναγκαιότητα. Οι χειριστές ransomware συνεχίζουν να βελτιώνουν τις τακτικές, τα εργαλεία και τα σχέδια κοινωνικής μηχανικής τους για να μεγιστοποιήσουν τις διαταραχές και να αποσπάσουν πληρωμές. Ακόμη και μικρότεροι οργανισμοί και οικιακοί χρήστες γίνονται τακτικά στόχος και η ανάκτηση μπορεί να είναι δύσκολη ή αδύνατη χωρίς προετοιμασία. Το AntiHacker Ransomware, μέλος της οικογένειας Xorist, είναι ακριβώς μια τέτοια απειλή.

ΕΠΙΣΚΟΠΗΣΗ ΑΠΕΙΛΗΣ & ΚΑΤΑΓΩΓΗ

Το AntiHacker είναι ένα κακόβουλο πρόγραμμα που ανακαλύφθηκε από ερευνητές ασφάλειας πληροφοριών και κατηγοριοποιήθηκε στην οικογένεια ransomware Xorist. Οι απειλές που βασίζονται στο Xorist συνήθως κατασκευάζονται από ένα πλαίσιο κιτ που οι εισβολείς μπορούν να προσαρμόσουν, αλλάζοντας το εμφανιζόμενο μήνυμα λύτρων, την επέκταση αρχείου, τα στοιχεία γλώσσας και άλλες παραμέτρους. Το AntiHacker ακολουθεί το γνωστό εγχειρίδιο του Xorist: κρυπτογραφεί τα δεδομένα του θύματος και στη συνέχεια απαιτεί πληρωμή σε αντάλλαγμα για ένα υποτιθέμενο κλειδί αποκρυπτογράφησης.

ΣΥΜΠΕΡΙΦΟΡΑ ΚΡΥΠΤΟΓΡΑΦΗΣΗΣ ΑΡΧΕΙΩΝ & ΣΗΜΑΝΣΗ

Μόλις το AntiHacker παραβιάσει ένα σύστημα, αναζητά δεδομένα προσβάσιμα από τον χρήστη σε τοπικούς δίσκους και πιθανώς σε αντιστοιχισμένες τοποθεσίες δικτύου. Στοχεύεται ένα ευρύ φάσμα τύπων αρχείων, έγγραφα, εικόνες, αρχεία, αρχεία πολυμέσων και άλλα πολύτιμα αποθέματα δεδομένων. Κάθε κρυπτογραφημένο στοιχείο μετονομάζεται προσθέτοντας τη συμβολοσειρά '.antihacker2017' στο τέλος του αρχικού ονόματος αρχείου. Για παράδειγμα, ένα αρχείο που αρχικά ονομαζόταν '1.png' γίνεται '1.png.antihacker2017'. Το '2.pdf' γίνεται '2.pdf.antihacker2017'. και αυτό το μοτίβο επαναλαμβάνεται σε όλα τα επεξεργασμένα αρχεία. Η προστιθέμενη επέκταση εξυπηρετεί δύο σκοπούς: σηματοδοτεί οπτικά την παραβίαση στο θύμα και βοηθά το ransomware να αναγνωρίσει ποια στοιχεία έχει ήδη χειριστεί.

ΣΗΜΕΙΩΣΕΙΣ ΓΙΑ ΛΥΤΡΑ, ΑΝΑΔΥΟΜΕΝΑ ΜΗΝΥΜΑΤΑ & ΜΗΝΥΜΑΤΑ ΤΑΙΝΙΑΣ

Αφού ολοκληρώσει τη διαδικασία κρυπτογράφησης, το AntiHacker τροποποιεί την ταπετσαρία της επιφάνειας εργασίας του θύματος και εμφανίζει ένα σημείωμα λύτρων σε δύο παράλληλες μορφές: ένα αναδυόμενο παράθυρο και ένα αρχείο κειμένου με το όνομα 'КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt' (Ρωσικά για 'ΠΩΣ ΝΑ ΑΠΟΚΡΥΠΤΟΓΡΑΦΗΣΕΤΕ ΑΡΧΕΙΑ'). Το περιεχόμενο του μηνύματος που παρουσιάζεται στο αναδυόμενο παράθυρο και στο αρχείο κειμένου είναι το ίδιο. Ωστόσο, η παραλλαγή της ταπετσαρίας περιλαμβάνει πρόσθετη γλώσσα κοινωνικής μηχανικής, μια υποτιθέμενη δικαιολογία ότι η επίθεση έλαβε χώρα επειδή ο χρήστης επισκέφθηκε συγκεκριμένους ιστότοπους απευθυνόμενους σε ενήλικες ή παράνομους. Αυτή η οπτική γωνία ντροπής έχει σχεδιαστεί για να πιέσει τα θύματα να πληρώσουν γρήγορα και αθόρυβα.

ΙΔΙΟΡΘΟΠΟΙΗΣΗ ΚΩΔΙΚΟΠΟΙΗΣΗΣ ΧΑΡΑΚΤΗΡΑ

Σε συστήματα που δεν χρησιμοποιούν κυριλλικό σύνολο χαρακτήρων, το κείμενο των λύτρων που εμφανίζεται στο αναδυόμενο παράθυρο μπορεί να εμφανίζεται ως δυσανάγνωστη ασυναρτησία. Τα θύματα ενδέχεται, επομένως, να δουν ένα κατεστραμμένο παράθυρο μηνύματος, αλλά να βρουν τις αναγνώσιμες οδηγίες μέσα στο αρχείο κειμένου που έχει απολεσθεί. Οι εισβολείς συχνά παραβλέπουν τις λεπτομέρειες εντοπισμού. Οι υπερασπιστές μπορούν να χρησιμοποιήσουν τέτοια αντικείμενα για να βοηθήσουν στην ομαδοποίηση περιστατικών που σχετίζονται με αυτά.

ΜΗΧΑΝΙΚΟΙ ΕΞΑΝΑΓΚΑΣΜΟΥ: ΒΑΣΙΚΑ ΟΡΙΑ ΕΙΣΟΔΟΥ & ΑΠΑΙΤΗΣΕΙΣ ΑΠΕΙΛΗΣ

Οι οδηγίες για τα λύτρα αναφέρουν ότι τα θύματα πρέπει να επικοινωνήσουν με τους εισβολείς για να λάβουν ένα κλειδί αποκρυπτογράφησης. Επιβάλλουν επίσης έναν περιορισμό υψηλού στρες: επιτρέπονται μόνο 50 προσπάθειες εισαγωγής του κλειδιού, μετά τις οποίες το μήνυμα ισχυρίζεται ότι τα κρυπτογραφημένα δεδομένα θα χαθούν οριστικά. Πρόσθετες προειδοποιήσεις υποστηρίζουν ότι η χρήση εργαλείων ασφαλείας, η επανεκκίνηση ή ο τερματισμός της λειτουργίας του μηχανήματος θα καταστήσει τα αρχεία μη κρυπτογραφήσιμα. Αυτές οι τακτικές εκφοβισμού είναι συνηθισμένες στα εγχειρίδια ransomware και στοχεύουν στην αποθάρρυνση των χρηστών από το να αναζητήσουν επαγγελματική βοήθεια ή να επιχειρήσουν ασφαλείς διαδικασίες αποκατάστασης.

ΓΙΑΤΙ Η ΠΛΗΡΩΜΗ ΤΩΝ ΛΥΤΡΩΝ ΕΙΝΑΙ ΕΠΙΚΙΝΔΥΝΗ

Δεν υπάρχει καμία εγγύηση ότι οι κυβερνοεγκληματίες πίσω από το AntiHacker (ή οποιοδήποτε ransomware) θα προσφέρουν μια λειτουργική λύση αποκρυπτογράφησης μετά την πληρωμή. Τα θύματα που πληρώνουν συχνά δεν λαμβάνουν τίποτα, λαμβάνουν ένα σπασμένο κλειδί ή γίνονται στόχοι επαναλαμβανόμενων εκβιασμών. Η πληρωμή χρηματοδοτεί επίσης συνεχιζόμενες εγκληματικές δραστηριότητες και δίνει κίνητρα για περαιτέρω επιθέσεις. Η συνετή στάση είναι να αποφεύγετε την πληρωμή όποτε είναι δυνατόν και να εστιάζετε σε οδούς ανάκτησης που βρίσκονται υπό τον έλεγχό σας.

ΠΡΑΓΜΑΤΙΚΟΤΗΤΕΣ ΑΝΑΚΟΥΦΙΣΗΣ

Η αφαίρεση του AntiHacker από ένα μολυσμένο σύστημα μπορεί να σταματήσει την περαιτέρω κρυπτογράφηση αρχείων, αλλά δεν αποκρυπτογραφεί δεδομένα που έχουν ήδη κλειδωθεί. Η πιο αξιόπιστη οδός ανάκτησης είναι η επαναφορά καθαρών αντιγράφων των προσβεβλημένων αρχείων από αντίγραφα ασφαλείας που ήταν απομονωμένα, εκτός σύνδεσης ή με άλλο τρόπο εκτός εμβέλειας του κακόβουλου λογισμικού. Εάν δεν υπάρχουν βιώσιμα αντίγραφα ασφαλείας, οι επιλογές ανάκτησης δεδομένων περιορίζονται σε μεγάλο βαθμό.

ΠΡΩΤΟΓΕΝΕΙΣ ΦΟΡΕΙΣ ΛΟΙΜΩΞΗΣ

Οι δημιουργοί ransomware βασίζονται στο ίδιο ευρύ οικοσύστημα διανομής που τροφοδοτεί άλλες κατηγορίες κακόβουλου λογισμικού. Το AntiHacker δεν αποτελεί εξαίρεση. Οι εισβολείς συχνά μεταμφιέζουν τα ωφέλιμα φορτία ως νόμιμο λογισμικό ή τα συνδυάζουν με παραβιασμένα ή πειρατικά προγράμματα, έγγραφα ή προγράμματα εγκατάστασης. Το απλό άνοιγμα ενός αρχείου που έχει παγιδευτεί μπορεί να ενεργοποιήσει μια αλυσίδα λήψης ή εκτέλεσης.

• Δολώματα ηλεκτρονικού "ψαρέματος" (phishing) και κοινωνικής μηχανικής που αποστέλλονται μέσω email, προσωπικών μηνυμάτων ή άμεσων μηνυμάτων με κακόβουλα συνημμένα ή ενσωματωμένους συνδέσμους.
• Λήψεις από οδηγό ή παραπλανητικές λήψεις που ξεκινούν από παραβιασμένους ή κακόβουλους ιστότοπους χωρίς σαφή συγκατάθεση του χρήστη.
• Trojan loaders και backdoors που ανακτούν και εκκινούν σιωπηλά ransomware μόλις ενσωματωθούν.
• Μη αξιόπιστες πηγές λήψης, όπως ιστότοποι με δωρεάν λογισμικό, σελίδες φιλοξενίας τρίτων και δίκτυα κοινής χρήσης αρχείων Peer-to-Peer (P2P).
• Διαδικτυακές απάτες και καμπάνιες κακόβουλης διαφήμισης που ανακατευθύνουν τους χρήστες προς κιτ εκμετάλλευσης ή αθέμιτα φορτία.
• Παράνομα εργαλεία ενεργοποίησης λογισμικού («cracks» / keygens) και ψεύτικες ενημερώσεις λογισμικού που εγκαθιστούν κακόβουλο λογισμικό αντί για νόμιμες ενημερώσεις κώδικα.

ΕΠΙΣΚΟΠΗΣΗ ΑΜΥΝΤΙΚΗΣ ΣΤΡΑΤΗΓΙΚΗΣ

Η αποτελεσματική άμυνα κατά των ransomware διαστρωματώνει ανθρώπους, διαδικασίες και τεχνολογία. Δεν μπορείτε να βασίζεστε σε ένα μόνο προστατευτικό στοιχείο ελέγχου. Υποθέστε ότι τουλάχιστον ένα επίπεδο θα αποτύχει. Συνδυάστε την επίγνωση των χρηστών, τις ενισχυμένες διαμορφώσεις, την αυστηρή ενημέρωση κώδικα, τις ισχυρές πρακτικές δημιουργίας αντιγράφων ασφαλείας και τις ισχυρές δυνατότητες ανίχνευσης/απόκρισης για να μειώσετε τόσο την πιθανότητα όσο και τον αντίκτυπο μιας εισβολής τύπου AntiHacker.

• Διατηρήστε αντίγραφα ασφαλείας των σημαντικών δεδομένων.
• Διατηρείτε τα λειτουργικά συστήματα, τις εφαρμογές και τα εργαλεία ασφαλείας πλήρως ενημερωμένα. Εφαρμόστε άμεσα ενημερώσεις κώδικα, ειδικά για υπηρεσίες απομακρυσμένης πρόσβασης και κοινής χρήσης αρχείων.
• Χρησιμοποιήστε αξιόπιστες λύσεις κατά του κακόβουλου λογισμικού / ανίχνευσης και απόκρισης τελικών σημείων (EDR) με δυνατότητα ανίχνευσης ransomware βάσει συμπεριφοράς και αυτόματης επαναφοράς, όπου υποστηρίζονται.
• Επιβολή δικαιωμάτων χρηστών με τα λιγότερα προνόμια· εκτέλεση καθημερινών εργασιών με λογαριασμούς που δεν είναι διαχειριστές και περιορισμός της πρόσβασης εγγραφής σε κοινόχρηστους χώρους αποθήκευσης δεδομένων.
• Τμηματοποιήστε τα δίκτυα και περιορίστε την πλευρική κίνηση· απομονώστε τα αποθετήρια αντιγράφων ασφαλείας και τους κρίσιμους διακομιστές σε ξεχωριστά επίπεδα πρόσβασης.
• Απαιτείται έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) για απομακρυσμένες συνδέσεις, προνομιακές ενέργειες και κονσόλες διαχείρισης αντιγράφων ασφαλείας.

ΣΥΝΑΨΗ

Το AntiHacker Ransomware δείχνει πώς οι απειλητικοί παράγοντες προσαρμόζουν οικογένειες που βασίζονται σε κιτ όπως το Xorist για να δημιουργήσουν ισχυρά, περιφερειακά στοχευμένα σχέδια εκβιασμού. Η κρυπτογράφηση δεδομένων, η προσθήκη ετικετών ονόματος αρχείου, τα πολύγλωσσα αντικείμενα σημειώσεων λύτρων και τα καταναγκαστικά μηνύματα έχουν σχεδιαστεί για να οδηγούν σε πληρωμές. Ωστόσο, το ισχυρότερο αντίμετρο παραμένει η προετοιμασία: μεμονωμένα αντίγραφα ασφαλείας, πολυεπίπεδες άμυνες, ενημερωμένοι χρήστες και ένα πειθαρχημένο σχέδιο απόκρισης. Οι οργανισμοί και τα άτομα που επενδύουν σε αυτές τις δικλείδες ασφαλείας μπορούν να μετατρέψουν ένα δυνητικά καταστροφικό συμβάν ransomware σε ένα ανακτήσιμο συμβάν.