Kremli lunavara
Lunavara on üks hävitavamaid pahavara vorme: see haarab vaikselt faile, keelab seadusliku juurdepääsu ja sunnib ohvreid kaotavasse läbirääkimisse. Seadmete ja võrkude kaitsmine on oluline mitte ainult isiku- ja äriandmete säilitamiseks, vaid ka häirete, rahalise kahju ja laiema võrgu ohustamise vältimiseks.
Sisukord
Kremli oht lühidalt
KREMLIN on lunavaraperekond, mis avastati ohtliku pahavara näidise uurimise käigus. Selle käitumine on otsekohene ja halastamatu: see krüpteerib ohvrite failid ja lisab laiendi '.KREMLIN' (näiteks '1.png' → '1.png.KREMLIN', '2.pdf' → '2.pdf.KREMLIN') ning saadab README.txt lunarahanõude teate, mis käsib ohvritel ründajatega Telegrami kaudu ühendust võtta aadressil @KremlinRestore. Teade on ründajate sisenemispunkt makse üle läbirääkimiste pidamiseks ja krüptovaluutaandmete edastamiseks. Failide taastamine ilma ründajate dekrüpteerimistööriistadeta on harva teostatav, mistõttu on hea ennetamine ja vastupidavad varukoopiad kriitilise tähtsusega.
Kuidas Kreml tegutseb?
Eduka käivitumise korral loetleb ja krüpteerib KREMLIN kasutaja andmefailid, nimetades need ümber laiendiga '.KREMLIN'. See jätab järele tekstifaili lunaraha juhiste ja kontaktandmetega, mis suunab ohvrid ründajate juurde Telegramis. Seejärel annavad tegutsejad tavaliselt maksejuhised (krüptovaluuta rahakott, summa). Kui lunavara jääb süsteemi, võib see jätkata täiendavate failide krüpteerimist või proovida levida teistele sama võrgu hostidele.
Levinud kohaletoimetamise ja levimise vektorid
Ohurünnakute tegijad kasutavad KREMLIN-i-sarnase lunavara levitamiseks laia valikut sotsiaalse manipuleerimise ja levitamise tehnikaid. Tüüpiliste vektorite hulka kuuluvad piraatrakendused, krüptimisvahendid ja võtmegeneraatorid, pahatahtlikud või võltsitud e-kirjade manused ja lingid (pahatahtlikud Office'i dokumendid, PDF-id, arhiivid), tehnilise toe pettused, parandamata tarkvara haavatavuste ärakasutamine, nakatunud USB-seadmed, ohustatud või mitteametlikud allalaadimissaidid, P2P-võrgud, pahatahtlikud reklaamid ja kolmandate osapoolte allalaadijad. Ründajad sageli komplekteerivad või maskeerivad käivitatavaid faile dokumentidesse või arhiividesse, et petta kasutajaid neid käivitama.
Miks maksmist ei soovitata ja mida ohvrid peaksid ootama
Lunaraha maksmine ei garanteeri andmete taastamist: ründajad ei pruugi toimivat dekrüpteerijat edastada, võivad nõuda lisatasusid või lihtsalt kaduda. Maksmine õhutab ka kuritegevust ja suurendab tulevaste sihtmärkide sattumise tõenäosust. Organisatsioonidel, millel on usaldusväärsed ja testitud varukoopiad, on parimad võimalused täielikuks taastamiseks ilma maksmata. Olenemata sellest, kas failid lõpuks taastatakse, on oluline lunavara nakatunud süsteemidest eemaldada – vastasel juhul võib see taastatud failid uuesti krüpteerida või edasi levida.
Kohesed sammud pärast nakkuse avastamist
Esmatähtsad on kohtuekspertiisi tõendite eraldamine ja säilitamine. Ühendage nakatunud masinad viivitamatult võrgust lahti (ühendage võrgukaablid, keelake WiFi) ja isoleerige need, et vältida külgmist liikumist. Ärge lülitage süsteeme järsult välja, kui plaanitakse kohtuekspertiisi jäädvustamist; selle asemel säilitage võimaluse korral pildid ja dokumenteerige ajatemplid ja tehtud toimingud. Kui olete teinud kontrollitud ja hiljutisi varukoopiaid, alustage kontrollitud taastamist alles pärast seda, kui olete veendunud, et pahavara on keskkonnast hävitatud.
Parimad turvapraktikad riski vähendamiseks ja mõju piiramiseks
Hoidke võrguühenduseta ja testitud varukoopiaid: tehke kriitilistest andmetest regulaarselt varukoopiaid, kusjuures vähemalt üks koopia on salvestatud võrguühenduseta või muutumatule andmekandjale. Testige regulaarselt taastamisprotseduure, et varukoopiad oleksid intsidendi ajal usaldusväärsed.
Süsteemide turvaparandus : rakendage operatsioonisüsteemidele, rakendustele ja püsivarale õigeaegseid turvavärskendusi. Vähendage rünnakupinda, keelates kasutamata teenused ja eemaldades ebavajaliku tarkvara.
Kasutage lõpp-punkti kaitset ja EDR-i : juurutage kaasaegseid viirusetõrje- ja lõpp-punkti tuvastamise ja reageerimise lahendusi, mis suudavad tuvastada ja blokeerida pahatahtlikku käitumist, kasutades tsentraliseeritud logimist ja hoiatusi.
Jõusta vähimad privileegid ja võrgu segmenteerimine : piira kasutajate ja teenuste õigusi ainult vajalikuga. Segmenteeri võrgud nii, et ohustatud lõpp-punkt ei pääseks kergesti kriitiliste serverite või varukoopiateni.
Tugev autentimine ja mitmefaktoriline autentimine : Nõua mitmefaktorilist autentimist kaugjuurdepääsu, e-posti ja administraatorikontode jaoks. Asenda vaike- või nõrgad paroolid tugevate ja unikaalsete volitustega.
Turvalised e-posti ja veebilüüsid : Kasutage täiustatud e-posti filtreerimist ja URL-ide skannimist, et vähendada pahatahtlike manuste ja andmepüügilinkide arvu. Rakendage DNS-i ja veebifiltreerimist, et blokeerida juurdepääs teadaolevatele pahatahtlikele saitidele või juhtimis- ja kontrolliinfrastruktuurile.
Kasutajakoolitus ja andmepüügi simulatsioonid : koolitage töötajaid regulaarselt andmepüüki, sotsiaalset manipuleerimist ja kahtlaseid allalaadimisi ära tundma; kasutage simuleeritud andmepüügikampaaniaid teadlikkuse mõõtmiseks ja parandamiseks.
Tarkvara installimise ja eemaldatavate andmekandjate haldamine : piirake rakenduste installimise või allkirjastamata koodi käivitamise võimalust. Blokeerige või jälgige USB-draivide ja muude eemaldatavate andmekandjate kasutamist.
Taastamise ja puhastamise kaalutlused
Lunavara hävitamine on ohutu taastamise eeltingimus. Tehke IT- ja turbespetsialistidega koostööd, et tuvastada püsivusmehhanismid (käivituskirjed, ajastatud ülesanded, teenused, külgliikumise artefaktid) ja need eemaldada. Vajadusel taastage tugevalt ohustatud süsteemide kujutis. Enne andmete taastamist veenduge, et keskkond on puhas; vastasel juhul võidakse taastatud andmed uuesti krüpteerida. Säilitage tõendeid õiguskaitseorganite jaoks ja vajadusel konsulteerige avalikustamisnõuete osas küberkindlustuse pakkujate ja õigusnõustajaga.
Lõppmärkused – vastupidavus lunaraha asemel
Kremli tegutsemisviis – failide krüpteerimine ja krüptovaluuta eest tasumise nõudmine pärast ohvritele Telegrami kaudu ühenduse võtmise juhiste andmist – on tüüpiline tänapäevasele lunavarale: kiire, häiriv ja rahaliselt motiveeritud. Kõige tõhusam kaitse on mitmekihiline turvapositsioon (tehnilised meetmed, parandused, tuvastamine), töökindlad võrguühenduseta varukoopiad ja harjutatud intsidentidele reageerimine. Nakatumise korral tuleks prioriteediks seada viiruse ohjeldamine, eemaldamine ja taastamine usaldusväärsetest varukoopiatest; vältida ründajate lubadustele tuginemist ning kaasata professionaalseid intsidentidele reageerijaid ja õiguskaitseorganeid.
Sõnumid
Leiti järgmised Kremli lunavara-ga seotud teated:
Need restore files? Contact us in telegram(desktop.telegram.org) - @KremlinRestore |
