Theft Ransomware

Το σύγχρονο περιβάλλον απειλών είναι αδυσώπητο. Οι κυβερνοεγκληματίες βελτιώνουν συνεχώς τα εργαλεία τους για να εκμεταλλεύονται τους απροετοίμαστους χρήστες. Μεταξύ των πιο καταστροφικών από αυτές τις απειλές είναι το ransomware, ένα κακόβουλο λογισμικό που κρυπτογραφεί δεδομένα και αποσπά χρήματα από τα θύματα. Μια τέτοια αναδυόμενη παραλλαγή είναι γνωστή ως Theft Ransomware, το οποίο έχει ήδη παρατηρηθεί να προκαλεί χάος σε ανυποψίαστα συστήματα.

Τι κάνει το Theft Ransomware επικίνδυνο

Το Theft Ransomware είναι ένα νέο στέλεχος που συνδέεται με την διαβόητη οικογένεια ransomware Dharma, μια ομάδα γνωστή για τη στόχευση τόσο ατόμων όσο και οργανισμών. Μόλις διεισδύσει σε μια συσκευή, το κακόβουλο λογισμικό κρυπτογραφεί αρχεία και τα μετονομάζει προσθέτοντας:

• Ένα μοναδικό αναγνωριστικό θύματος
• Η διεύθυνση ηλεκτρονικού ταχυδρομείου των επιτιθέμενων
• Η επέκταση '.theft'

Για παράδειγμα, το '1.png' γίνεται '1.png.id-9ECFA84E.[datatheft@tuta.io].theft.'

Στη συνέχεια, τα θύματα έρχονται αντιμέτωπα με σημειώσεις λύτρων με τη μορφή αρχείων κειμένου («info.txt») και ενός αναδυόμενου παραθύρου. Ενώ το κείμενο της σημείωσης είναι συνοπτικό, παρέχοντας μόνο στοιχεία επικοινωνίας, το αναδυόμενο παράθυρο προσφέρει περισσότερες λεπτομέρειες, συμπεριλαμβανομένης της διαβεβαίωσης ότι η ανάκτηση δεδομένων είναι δυνατή εάν καταβληθούν τα λύτρα. Οι εισβολείς προσφέρουν ακόμη και «απόδειξη αποκρυπτογράφησης» επιτρέποντας την δωρεάν επαναφορά τριών μικρών, μη κρίσιμων αρχείων.

Αυξάνοντας την πίεση, οι εγκληματίες ισχυρίζονται ότι έχουν κλέψει ευαίσθητα επιχειρηματικά δεδομένα και απειλούν να τα διαρρεύσουν εάν η πληρωμή απορριφθεί.

Τεχνικά Χαρακτηριστικά της Απειλής

Όπως και άλλες παραλλαγές που βασίζονται στο Dharma, το Theft Ransomware δεν κλειδώνει ολόκληρα συστήματα, αλλά κρυπτογραφεί τοπικά και κοινόχρηστα αρχεία δικτύου. Το κακόβουλο λογισμικό ενεργά:

• Τερματίζει διεργασίες που συνδέονται με αρχεία που χρησιμοποιούνται (βάσεις δεδομένων, αναγνώστες κ.λπ.)
• Αντιγράφει τον εαυτό του στη διαδρομή %LOCALAPPDATA% και καταγράφει την επιμονή μέσω των πλήκτρων Run
• Ρυθμίζεται σε αυτόματη εκκίνηση με επανεκκίνηση του συστήματος
• Διαγράφει τα σκιώδη αντίγραφα τόμου για να αποτρέψει την εύκολη ανάκτηση

Το κακόβουλο λογισμικό συλλέγει επίσης δεδομένα γεωγραφικής τοποθεσίας για να καθορίσει εάν θα προχωρήσει με κρυπτογράφηση, ενδεχομένως εξαιρώντας ορισμένες περιοχές.

Πώς εξαπλώνεται η μόλυνση

Το Theft Ransomware χρησιμοποιεί πολλαπλές τακτικές διείσδυσης, με τις πιο συνηθισμένες να είναι οι υπηρεσίες RDP (Remote Desktop Protocol) με χαμηλή ασφάλεια. Οι επιθέσεις brute force και dictionary εναντίον λογαριασμών με κακή προστασία αποτελούν συχνό σημείο εισόδου. Μόλις εισέλθει στο σύστημα, το κακόβουλο λογισμικό μπορεί ακόμη και να απενεργοποιήσει τα τείχη προστασίας για να διευκολύνει τη λειτουργία του.

Άλλα γνωστά κανάλια διανομής περιλαμβάνουν:

Ηλεκτρονικό "ψάρεμα" (phishing) και κοινωνική μηχανική – Κακόβουλα συνημμένα ή σύνδεσμοι σε email, άμεσα μηνύματα (DM) και αναρτήσεις.

Trojans και Backdoors – Χρησιμοποιούνται για την αθόρυβη απενεργοποίηση του ransomware.

Κακόβουλες διαφημίσεις και λήψεις από drive-by – Ενεργοποιούνται απλώς με την επίσκεψη σε έναν παραβιασμένο ιστότοπο.

Ύποπτες πηγές λογισμικού – Πειρατικά εργαλεία, πακέτα δωρεάν λογισμικού και ψεύτικες ενημερώσεις.

Αφαιρούμενα μέσα και τοπικά δίκτυα – Επιτρέπουν την εσωτερική εξάπλωση του κακόβουλου λογισμικού μόλις εισέλθει σε ένα σύστημα.

Γιατί η πληρωμή των λύτρων είναι ένα επικίνδυνο στοίχημα

Η αποκρυπτογράφηση αρχείων κρυπτογραφημένων με κλοπή χωρίς το κλειδί των εισβολέων είναι σχεδόν αδύνατη. Ενώ ορισμένες παραλλαγές του ransomware είναι ελαττωματικές, οι απειλές που βασίζονται στο Dharma είναι συνήθως άρτια κατασκευασμένες. Είναι σημαντικό ότι η πληρωμή των λύτρων δεν παρέχει καμία εγγύηση ανάκτησης, καθώς πολλά θύματα μένουν με άδεια χέρια ακόμη και μετά τη μεταφορά χρημάτων. Το χειρότερο είναι ότι η πληρωμή χρηματοδοτεί μόνο περαιτέρω εγκληματικές δραστηριότητες.

Ενίσχυση της άμυνάς σας ενάντια στο ransomware

Ο καλύτερος τρόπος για την καταπολέμηση του Theft Ransomware είναι η πρόληψη. Δεδομένου ότι η αφαίρεση του κακόβουλου λογισμικού δεν θα επαναφέρει αυτόματα τα κρυπτογραφημένα αρχεία, οι χρήστες πρέπει να επικεντρωθούν στην ανθεκτικότητα και στις προληπτικές άμυνες. Οι βασικές πρακτικές που πρέπει να υιοθετήσει κάθε χρήστης είναι:

• Τακτικά αντίγραφα ασφαλείας – Διατηρήστε αντίγραφα σημαντικών αρχείων σε πολλαπλές ασφαλείς τοποθεσίες, όπως μονάδες δίσκου εκτός σύνδεσης και υπηρεσίες cloud που δεν έχουν αντιστοιχιστεί στο μολυσμένο σύστημα.
• Ενημέρωση Λογισμικού και Συστημάτων – Εφαρμόστε ενημερώσεις κώδικα για να κλείσετε τρωτά σημεία που εκμεταλλεύεται το ransomware.
• Χρησιμοποιήστε Ισχυρό Έλεγχο Ταυτότητας – Ασφαλίστε τις υπηρεσίες RDP με μοναδικούς, σύνθετους κωδικούς πρόσβασης και ενεργοποιήστε τον πολυπαραγοντικό έλεγχο ταυτότητας.
• Να είστε προσεκτικοί με τα email και τους συνδέσμους – Μην ανοίγετε μη αναμενόμενα συνημμένα και μην κάνετε κλικ σε άγνωστους συνδέσμους, ακόμα κι αν φαίνονται νόμιμοι.
• Περιορισμός δικαιωμάτων διαχειριστή – Περιορίστε τα δικαιώματα για να μειώσετε τον αντίκτυπο πιθανής εκτέλεσης κακόβουλου λογισμικού.
• Εγκαταστήστε αξιόπιστα εργαλεία ασφαλείας – Χρησιμοποιήστε λύσεις κατά του κακόβουλου λογισμικού με λειτουργίες προστασίας από ransomware.

• Απενεργοποίηση μακροεντολών και δέσμης ενεργειών – Πολλές επιθέσεις ransomware ενεργοποιούνται μέσω εγγράφων ή δέσμης ενεργειών του Office.

• Τμηματοποίηση Δικτύων – Αποτρέψτε την πλευρική εξάπλωση κακόβουλου λογισμικού σε όλα τα επιχειρηματικά περιβάλλοντα.

Τελικές Σκέψεις

Το Theft Ransomware υπογραμμίζει τη συνεχή εξέλιξη της οικογένειας Dharma και τον διαρκή ρόλο της στις παγκόσμιες εκστρατείες ransomware. Ο συνδυασμός κρυπτογράφησης, κλοπής δεδομένων και εκβιασμού το καθιστά ιδιαίτερα επιζήμιο. Δεδομένου ότι η ανάκτηση αρχείων είναι συχνά αδύνατη χωρίς καθαρά αντίγραφα ασφαλείας, η μόνη πραγματική άμυνα είναι η πολυεπίπεδη πρόληψη, η ισχυρή κυβερνοϋγιεινή και οι αξιόπιστες στρατηγικές ανάκτησης.