Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Ransomware Mortar Ransomware

Mortar Ransomware

Μέχρι το Mezo το Ransomware
Μετάφραση σε:

Το κακόβουλο λογισμικό εξακολουθεί να αποτελεί μια από τις σημαντικότερες απειλές στον κυβερνοχώρο που αντιμετωπίζουν τόσο οι οργανισμοί όσο και τα άτομα. Οι σύγχρονες επιθέσεις ransomware μπορούν να διαταράξουν τις επιχειρηματικές δραστηριότητες, να προκαλέσουν σοβαρές οικονομικές απώλειες και να θέσουν σε κίνδυνο ευαίσθητες πληροφορίες μέσα σε λίγες ώρες. Καθώς οι ομάδες ransomware γίνονται ολοένα και πιο εξελιγμένες, η διατήρηση ισχυρών ελέγχων ασφαλείας και προληπτικών αμυντικών μέτρων είναι απαραίτητη για την προστασία πολύτιμων δεδομένων και τη διασφάλιση της επιχειρησιακής συνέχειας.

Το Mortar Ransomware με μια ματιά

Το Mortar Ransomware είναι ένα στέλεχος κακόβουλου λογισμικού κρυπτογράφησης αρχείων που εντοπίστηκε από ερευνητές κυβερνοασφάλειας. Η απειλή έχει σχεδιαστεί κυρίως για να στοχεύει εταιρικά περιβάλλοντα, όπου οι εισβολείς επιδιώκουν να μεγιστοποιήσουν τη διακοπή λειτουργίας και να αυξήσουν την πίεση στα θύματα να πληρώσουν λύτρα. Μόλις αναπτυχθεί σε ένα παραβιασμένο δίκτυο, το Mortar κρυπτογραφεί τα αρχεία και αφήνει ένα σημείωμα λύτρων που ονομάζεται σύμφωνα με το μοναδικό αναγνωριστικό του θύματος, ακολουθώντας τη μορφή 'README-[victim's ID].txt'.

Ένα ξεχωριστό χαρακτηριστικό αυτού του ransomware είναι η συμπεριφορά μετονομασίας αρχείων. Κατά την κρυπτογράφηση, το Mortar προσθέτει ένα μοναδικό αναγνωριστικό θύματος σε κάθε αρχείο που έχει προσβληθεί. Για παράδειγμα, ένα αρχείο με αρχικά ονομαστική ονομασία '1.png' μπορεί να γίνει '1.png.4RcrXfvVksS5ACA', ενώ ένα έγγραφο όπως το '2.pdf' θα μπορούσε να μετατραπεί σε '2.pdf.4RcrXfvVksS5ACA'. Το ίδιο αναγνωριστικό χρησιμοποιείται στη συνέχεια στο όνομα αρχείου του σημειώματος λύτρων, δημιουργώντας μια άμεση συσχέτιση μεταξύ του θύματος και της επίθεσης.

Διαδικασία κρυπτογράφησης και απαιτήσεις λύτρων

Αφού διεισδύσει σε ένα δίκτυο, το Mortar κρυπτογραφεί ένα ευρύ φάσμα δεδομένων, συμπεριλαμβανομένων εγγράφων, βάσεων δεδομένων, φωτογραφιών και άλλων πολύτιμων επιχειρηματικών αρχείων. Το σημείωμα για τα λύτρα ισχυρίζεται ότι οι εισβολείς χρησιμοποίησαν αλγόριθμους κρυπτογράφησης AES-256 και RSA-2048 για να κλειδώσουν τις πληροφορίες του θύματος. Ενώ τέτοιοι ισχυρισμοί είναι συνηθισμένοι μεταξύ των χειριστών ransomware, ο συνολικός στόχος παραμένει ο ίδιος: να καταστούν τα δεδομένα μη προσβάσιμα χωρίς το αντίστοιχο κλειδί αποκρυπτογράφησης.

Το σημείωμα λύτρων ενημερώνει τα θύματα ότι ο μόνος τρόπος για να ανακτήσουν τα αρχεία τους είναι αγοράζοντας ένα εργαλείο αποκρυπτογράφησης από τους εισβολείς. Αντί να καθορίσουν ένα σταθερό ποσό λύτρων, οι εγκληματίες κατευθύνουν τα θύματα σε μια πύλη που βασίζεται στο Tor και παρέχουν διαπιστευτήρια σύνδεσης που αποτελούνται από ένα όνομα χρήστη και έναν κωδικό πρόσβασης. Αυτή η προσέγγιση επιτρέπει στους εισβολείς να διαπραγματεύονται πληρωμές μεμονωμένα και ενδεχομένως να προσαρμόζουν τις απαιτήσεις λύτρων με βάση την αντιληπτή αξία του οργανισμού-θύματος.

Μπορούν να ανακτηθούν κρυπτογραφημένα αρχεία;

Η ανάκτηση αρχείων που έχουν κρυπτογραφηθεί από ransomware είναι συχνά εξαιρετικά δύσκολη χωρίς πρόσβαση στον μηχανισμό αποκρυπτογράφησης των εισβολέων. Σε σπάνιες περιπτώσεις, οι ερευνητές κυβερνοασφάλειας ανακαλύπτουν λάθη υλοποίησης ή κρυπτογραφικές αδυναμίες που επιτρέπουν τη δημιουργία δωρεάν αποκρυπτογραφητών. Ωστόσο, τέτοιες περιπτώσεις είναι σπάνιες και τα θύματα που επηρεάζονται από καλοσχεδιασμένο ransomware αντιμετωπίζουν συχνά περιορισμένες επιλογές ανάκτησης.

Η πληρωμή των λύτρων θεωρείται γενικά μια απόφαση υψηλού κινδύνου. Οι κυβερνοεγκληματίες δεν έχουν καμία υποχρέωση να παρέχουν ένα λειτουργικό εργαλείο αποκρυπτογράφησης μετά την παραλαβή της πληρωμής. Πολλά θύματα έχουν αντιμετωπίσει καταστάσεις όπου μεταφέρθηκαν χρήματα, αλλά τα εργαλεία ανάκτησης δεν παραδόθηκαν ποτέ ή τα παρεχόμενα εργαλεία δεν κατάφεραν να επαναφέρουν τα δεδομένα με επιτυχία. Κατά συνέπεια, η πληρωμή μπορεί να οδηγήσει σε πρόσθετη οικονομική ζημία χωρίς να εγγυάται την ανάκτηση των αρχείων.

Φορείς Λοίμωξης και Τεχνικές Επίθεσης

Το Mortar μπορεί να φτάσει στα θύματα μέσω διαφόρων μεθόδων επίθεσης που χρησιμοποιούνται συνήθως σε εκστρατείες ransomware. Το ηλεκτρονικό ψάρεμα (phishing) παραμένει ένας από τους πιο διαδεδομένους φορείς μόλυνσης. Οι εισβολείς διανέμουν email που περιέχουν κακόβουλα συνημμένα, όπως συμπιεσμένα αρχεία, εκτελέσιμα αρχεία ή έγγραφα του Microsoft Office ενσωματωμένα σε επιβλαβείς μακροεντολές. Μόλις ανοιχτούν, αυτά τα αρχεία μπορούν να ξεκινήσουν τη διαδικασία ανάπτυξης του ransomware.

Πρόσθετες οδοί μόλυνσης περιλαμβάνουν λογισμικό που έχει υποστεί επεξεργασία με Trojan, ψεύτικους μηχανισμούς ενημέρωσης, κακόβουλες διαφημιστικές καμπάνιες, αναξιόπιστες πύλες λήψης και πειρατικές εφαρμογές που διανέμονται μέσω ανεπίσημων καναλιών. Αυτές οι μέθοδοι εκμεταλλεύονται την εμπιστοσύνη των χρηστών και τους ανεπαρκείς ελέγχους ασφαλείας για να αποκτήσουν πρόσβαση σε συστήματα.

Σε στοχευμένες εταιρικές εισβολές, οι απειλητικοί παράγοντες ενδέχεται να υιοθετήσουν πιο προηγμένες τεχνικές. Οι εισβολείς προσπαθούν συχνά να θέσουν σε κίνδυνο τις υπηρεσίες Remote Desktop Protocol (RDP) μέσω επιθέσεων brute-force εναντίον αδύναμων διαπιστευτηρίων. Ενδέχεται επίσης να εκμεταλλευτούν μη ενημερωμένες ευπάθειες σε συστήματα που συνδέονται στο διαδίκτυο για να αποκτήσουν μια αρχική θέση πριν κινηθούν πλευρικά στο δίκτυο και αναπτύξουν ransomware σε πολλές συσκευές ταυτόχρονα.

Αντιμετώπιση μιας μόλυνσης από κονιάματα

Μόλις εντοπιστεί το Mortar, ο άμεσος περιορισμός είναι κρίσιμος. Η αφαίρεση του ransomware από τα επηρεαζόμενα συστήματα βοηθά στην πρόληψη περαιτέρω δραστηριότητας κρυπτογράφησης και μειώνει τον κίνδυνο πρόσθετων ζημιών σε όλο το περιβάλλον. Ωστόσο, η αφαίρεση κακόβουλου λογισμικού δεν πρέπει να συγχέεται με την ανάκτηση δεδομένων. Η εξάλειψη του κακόβουλου προγράμματος δεν επαναφέρει αυτόματα τα κρυπτογραφημένα αρχεία.

Η πιο αξιόπιστη μέθοδος ανάκτησης παραμένει η επαναφορά καθαρών αντιγράφων ασφαλείας που δημιουργήθηκαν πριν από την επίθεση. Τα αντίγραφα ασφαλείας θα πρέπει να αποθηκεύονται ξεχωριστά από τα συστήματα παραγωγής, για να αποτρέπεται η κρυπτογράφηση αποθετηρίων αντιγράφων ασφαλείας από ransomware κατά τη διάρκεια ενός συμβάντος. Οι οργανισμοί που διατηρούν ασφαλή, απομονωμένα αντίγραφα ασφαλείας βρίσκονται συνήθως σε πολύ ισχυρότερη θέση για να ανακάμψουν από επιθέσεις ransomware χωρίς να εμπλακούν σε κυβερνοεγκληματίες.

Δημιουργία ισχυρών αμυντικών μηχανισμών κατά του ransomware

Η αποτελεσματική προστασία από ransomware απαιτεί μια πολυεπίπεδη στρατηγική ασφάλειας που συνδυάζει την τεχνολογία, την ευαισθητοποίηση των χρηστών και την προληπτική συντήρηση. Οι οργανισμοί θα πρέπει να ενημερώνουν τακτικά τα λειτουργικά συστήματα, τις εφαρμογές και τις συσκευές δικτύου για την εξάλειψη των ευπαθειών που εκμεταλλεύονται συνήθως οι εισβολείς. Οι ισχυρές πολιτικές ελέγχου ταυτότητας, ιδίως για υπηρεσίες απομακρυσμένης πρόσβασης, μπορούν να μειώσουν σημαντικά τον κίνδυνο μη εξουσιοδοτημένης εισόδου.

Εξίσου σημαντική είναι η ανάπτυξη μιας ισχυρής στρατηγικής δημιουργίας αντιγράφων ασφαλείας. Τα κρίσιμα δεδομένα θα πρέπει να αντιγράφονται σε πολλαπλές τοποθεσίες, συμπεριλαμβανομένων των αποθηκευτικών χώρων εκτός σύνδεσης ή αποσύνδεσης, στους οποίους δεν είναι δυνατή η πρόσβαση από παραβιασμένα συστήματα. Ο τακτικός έλεγχος δημιουργίας αντιγράφων ασφαλείας διασφαλίζει ότι οι διαδικασίες αποκατάστασης λειτουργούν σωστά σε περίπτωση έκτακτης ανάγκης.

Οι βασικές πρακτικές ασφαλείας περιλαμβάνουν:

  • Διατήρηση συχνών αντιγράφων ασφαλείας σε ξεχωριστές και προστατευμένες τοποθεσίες.
  • Εφαρμογή ενημερώσεων ασφαλείας και ενημερώσεων κώδικα αμέσως μόλις γίνουν διαθέσιμες.
  • Χρήση ισχυρών, μοναδικών κωδικών πρόσβασης και ενεργοποίηση πολυπαραγοντικής επαλήθευσης ταυτότητας.
  • Περιορισμός περιττών υπηρεσιών απομακρυσμένης πρόσβασης και παρακολούθηση προσπαθειών σύνδεσης.
  • Εκπαίδευση υπαλλήλων ώστε να αναγνωρίζουν ηλεκτρονικά μηνύματα ηλεκτρονικού "ψαρέματος" (phishing) και ύποπτα συνημμένα.
  • Ανάπτυξη αξιόπιστων λύσεων προστασίας τερματικών σημείων και παρακολούθησης δικτύου.

Οι οργανισμοί θα πρέπει επίσης να υιοθετήσουν την αρχή των ελάχιστων προνομίων, παρέχοντας στους χρήστες μόνο την πρόσβαση που είναι απαραίτητη για τους ρόλους τους. Η συνεχής παρακολούθηση, οι έλεγχοι ασφαλείας και ο σχεδιασμός αντιμετώπισης περιστατικών ενισχύουν περαιτέρω την ανθεκτικότητα έναντι εκστρατειών ransomware όπως το Mortar. Ένας συνδυασμός προληπτικών ελέγχων, δυνατοτήτων ταχείας ανίχνευσης και αξιόπιστων συστημάτων δημιουργίας αντιγράφων ασφαλείας παραμένει η πιο αποτελεσματική άμυνα έναντι των σύγχρονων απειλών κρυπτογράφησης αρχείων.

Σύναψη

Το Mortar Ransomware αποτελεί σοβαρή απειλή για τα εταιρικά δίκτυα λόγω της ικανότητάς του να κρυπτογραφεί πολύτιμα δεδομένα, να διαταράσσει τις λειτουργίες και να πιέζει τα θύματα να πληρώσουν για την αποκρυπτογράφηση. Προσθέτοντας μοναδικά αναγνωριστικά σε κρυπτογραφημένα αρχεία και κατευθύνοντας τα θύματα σε μια ειδική πύλη λύτρων, οι επιτιθέμενοι επιδεικνύουν μια δομημένη και στοχευμένη προσέγγιση. Ενώ η ανάκτηση κρυπτογραφημένων αρχείων μπορεί να είναι δύσκολη, οι οργανισμοί που δίνουν προτεραιότητα σε ισχυρές πρακτικές κυβερνοασφάλειας, διατηρούν μεμονωμένα αντίγραφα ασφαλείας και αντιμετωπίζουν προληπτικά τα τρωτά σημεία μπορούν να μειώσουν σημαντικά τον αντίκτυπο των περιστατικών ransomware και να βελτιώσουν τη συνολική τους κατάσταση ασφαλείας.

System Messages

The following system messages may be associated with Mortar Ransomware:

--------------------------------------------
| What happened to your files?
--------------------------------------------

We breached your corporate network and encrypted the data on your computers. The encrypted data includes documents, databases, photos and more - all were encrypted using a military grade encryption algorithms (AES-256 and RSA-2048). You cannot access those files right now. But don't worry!

You can still get those files back and be up and running again in no time.

---------------------------------------------
| How to contact us to get your files back?
---------------------------------------------

The only way to restore your files is by purchasing a decryption tool loaded with a private key we created specifically for your network.

Once run on an effected computer, the tool will decrypt all encrypted files - and you can resume day-to-day operations, preferably with better cyber security in mind. If you are interested in purchasing the decryption tool contact us at hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion.

!IMPORTANT!
TO RESTORE YOUR FILES CONTACT US VIA TOR BROWSER

WEBSITE: hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion
USERNAME: sid
PASSWORD: 4RcrXfvVksS5ACA

BACKUP LINK TO SUPPORT TEAM: hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion
!!!!!!!!!!!

Τάσεις

Απάτη μέσω email συνεργασίας μέσω LinkedIn

Phishing, Ανεπιθύμητη αλληλογραφία
Οι κυβερνοεγκληματίες πίσω από την απάτη LinkedIn Collaboration επιχειρούν να δελεάσουν τους παραλήπτες με αυτό που φαίνεται να είναι ένα επαγγελματικό επιχειρηματικό ερώτημα. Τα email ισχυρίζονται ότι προέρχονται από έναν αγοραστή ονόματι «Jonathan Spriggs» από την Storex Trading Ltd., ο οποίος υποτίθεται ότι ανακάλυψε τον παραλήπτη μέσω του LinkedIn και επιθυμεί να συζητήσει μια μεγάλη...

Το πρόγραμμα-πελάτης ηλεκτρονικού ταχυδρομείου του...

Phishing, Ανεπιθύμητη αλληλογραφία
Τα email με το μήνυμα "Το πρόγραμμα-πελάτης email του Microsoft Outlook είναι παρωχημένο" είναι μηνύματα ηλεκτρονικού "ψαρέματος" (phishing) που έχουν σχεδιαστεί για να μοιάζουν με επίσημες ειδοποιήσεις ασφαλείας από το Microsoft Outlook. Τα email προειδοποιούν τους παραλήπτες ότι το πρόγραμμα-πελάτης email τους φέρεται να είναι παρωχημένο και ισχυρίζονται ότι η μη άμεση ενημέρωση θα μπορούσε...

Περισσότερες εμφανίσεις

Φόρτωση...