باج‌افزار LockBeast

تا Mezo در باج افزار

ترجمه به:

باج‌افزار همچنان یکی از مخرب‌ترین تهدیدات سایبری برای سازمان‌ها و کاربران خانگی است. یک نفوذ موفق ممکن است داده‌های حیاتی کسب و کار را قفل کند، عملیات را متوقف کند و تلاش‌های پرهزینه‌ای را برای واکنش به حادثه و بازیابی اطلاعات به دنبال داشته باشد. ایجاد دفاع‌های لایه‌ای و آمادگی برای واکنش قبل از شیوع، تفاوت بین یک رویداد مهار شده و یک بحران است.

خلاصه تهدید

پس از اجرای باج‌افزار LockBeast، داده‌های کاربر را رمزگذاری می‌کند، نام فایل‌ها را تغییر می‌دهد تا شناسه قربانی را جاسازی کند و یک یادداشت باج‌خواهی با عنوان «README.TXT» را قرار می‌دهد. اپراتورها رمزگذاری را با سرقت داده‌ها ترکیب می‌کنند تا قربانیان را برای پرداخت تحت فشار قرار دهند و تهدید می‌کنند که در صورت عدم برقراری ارتباط در یک بازه زمانی مشخص، اطلاعات حساس را فاش می‌کنند.

گردش کار رمزگذاری و تغییر نام فایل

در طول رمزگذاری، LockBeast هم یک شناسه خاص قربانی و هم پسوند '.lockbeast' را به فایل‌های هدف اضافه می‌کند. برای مثال، '1.png' به '1.png.{ED08A034-A9A0-4195-3CC2-81B2521AD6B5}.lockbeast' و '2.pdf' به '2.pdf.{ED08A034-A9A0-4195-3CC2-81B2521AD6B5}.lockbeast' تبدیل می‌شود. این الگو به مهاجمان اجازه می‌دهد تا قربانیان را ردیابی کرده و قبل از ارائه هرگونه قابلیت رمزگشایی، پرداخت را تأیید کنند. هدف این روال رمزگذاری، پوشش طیف گسترده‌ای از انواع داده‌ها، از جمله اسناد، پایگاه‌های داده، بایگانی‌ها، رسانه‌ها و مخازن کد منبع است.

یادداشت باج‌خواهی و تاکتیک‌های اخاذی مضاعف

یادداشت «README.TXT» ادعا می‌کند که تمام فایل‌های مهم در دسترس نیستند و ادعا می‌کند که اطلاعات حساس مانند تاریخچه تراکنش‌ها، اطلاعات شخصی مشتری، جزئیات کارت پرداخت و موجودی حساب‌ها به زیرساخت مهاجم منتقل می‌شود. این یادداشت اطلاعات تماس را از طریق پیام‌رسان‌های متمرکز بر حریم خصوصی (Session و Tox) ارائه می‌دهد، در مورد تغییر نام فایل‌ها یا استفاده از رمزگشاهای شخص ثالث هشدار می‌دهد و یک مهلت هفت روزه قبل از انتشار داده‌های ادعایی تعیین می‌کند. این روش، اخاذی کلاسیک رمزگذاری فایل را با تهدیدهای افشای عمومی ترکیب می‌کند تا فشار را افزایش دهد. پرداخت همچنان پرخطر است: هیچ تضمینی برای رمزگشایی کارآمد، بازیابی کامل داده‌ها یا حذف اطلاعات سرقت شده حتی در صورت ارسال باج وجود ندارد.

بردارهای دسترسی اولیه و توزیع

روش‌های مشاهده‌شده و احتمالی انتقال با عملیات رایج باج‌افزارها همسو هستند. عاملان تهدید، آلودگی‌ها را از طریق پیوست‌ها یا لینک‌های مخرب ایمیل، نرم‌افزارها و کی‌جن‌های تروجان‌دار یا دزدیده‌شده، کلاهبرداری‌های «پشتیبانی» مهندسی اجتماعی و سوءاستفاده از آسیب‌پذیری‌های وصله‌نشده ایجاد می‌کنند. مسیرهای دیگر شامل تغییر مسیرهای درایو-بای یا تبلیغات مخرب، دانلودکننده‌های شخص ثالث، وب‌سایت‌های آلوده یا مشابه، رسانه‌های قابل حمل آلوده و اشتراک‌گذاری فایل نظیر به نظیر است. اجرا اغلب زمانی شروع می‌شود که کاربر یک فایل اجرایی، بایگانی، آفیس یا سند PDF یا اسکریپت تله‌گذاری‌شده را باز می‌کند.

راهنمای مهار و ریشه‌کنی

اگر به LockBeast مشکوک به آلوده شدن سیستم هستید، فوراً اقدام کنید. دستگاه‌های آسیب‌دیده را از شبکه (سیمی و بی‌سیم) جدا کنید تا از رمزگذاری بیشتر و گسترش جانبی جلوگیری شود. درایوهای اشتراکی را غیرفعال کنید و توکن‌ها یا جلسات دسترسی مشکوک را لغو کنید. مصنوعات و گزارش‌های ناپایدار را برای بررسی‌های پزشکی قانونی حفظ کنید، سپس بدافزار را با استفاده از یک راه‌حل امنیتی قابل اعتماد و کاملاً به‌روز شده یا یک محیط واکنش به حادثه خوب و شناخته شده حذف کنید. فقط پس از تأیید ریشه‌کن شدن تهدید، از پشتیبان‌های پاک و آفلاین بازیابی کنید. در غیر این صورت، آلودگی مجدد ممکن است داده‌های بازیابی شده را دوباره رمزگذاری کند.

بهبود و تأثیر بر کسب و کار

رمزگشایی بدون ابزار مهاجمان معمولاً امکان‌پذیر نیست، مگر اینکه نسخه‌های پشتیبان وجود داشته باشد. بازیابی مهم‌ترین سرویس‌ها را از اسنپ‌شات‌های تغییرناپذیر یا آفلاین در اولویت قرار دهید. هرگونه ادعای خروج اطلاعات را تا زمانی که خلاف آن ثابت نشده، معتبر بدانید: ارزیابی کنید که چه داده‌هایی ممکن است در معرض خطر قرار گرفته باشند، در صورت لزوم طبق قانون یا قرارداد، اعلان‌هایی را تهیه کنید و بر سوءاستفاده (مثلاً کلاهبرداری علیه مشتریان) نظارت داشته باشید.

نکات تصمیم‌گیری در مورد پرداخت

اگرچه هر حادثه‌ای ملاحظات عملیاتی و قانونی منحصر به فردی دارد، پرداخت باج، فعالیت‌های مجرمانه را تأمین مالی می‌کند و هیچ تضمینی برای بازیابی کامل داده‌ها یا عدم افشای آنها ارائه نمی‌دهد. ابتدا گزینه‌های جایگزین را در نظر بگیرید: بازیابی از نسخه‌های پشتیبان، بازسازی جزئی داده‌ها و اقدامات حفاظت از مشتری.

نکته‌ی اصلی

LockBeast رمزگذاری تهاجمی را با تهدیدهای نشت داده‌ها ترکیب می‌کند تا قربانیان را تحت فشار قرار دهد. جداسازی سریع، ریشه‌کنی منظم و پشتیبان‌گیری آفلاین قابل اعتماد برای بازیابی بسیار مهم هستند. در درازمدت، سازمان‌هایی که روی وصله‌گذاری، حداقل امتیاز، کنترل‌های قوی ایمیل و وب و آمادگی واقع‌بینانه برای حوادث سرمایه‌گذاری می‌کنند، احتمال و تأثیر رویدادهای باج‌افزاری را به طرز چشمگیری کاهش می‌دهند.

پیام ها

پیام های زیر مرتبط با باج‌افزار LockBeast یافت شد:

YOUR FILES ARE ENCRYPTED AND CONDIDENTIAL DATA HAS BEEN STOLEN

All your documents, databases, source codes and other important files are now inaccessible.
They are protected by military standard encryption algorigthms that cannot be broken without a special key.

In addition, some of your data has been copied and is on our servers.
- and much more...
The stolen data contains information about transactions made in your applications, personal data of your customers, including full names, contact details, document numbers, their card numbers in your casino and their balance.
If you refuse to deal with us, we will publicly post your confidential information on our blog.

Our group is not politically motivated, we just love money like all people.
Instead of paying huge fines, getting sued by employees and customers, you can simply write to us and negotiate a deal.

How our negotiations with you will proceed:
1. You contact us at the contacts listed below and send us your personal decryption id.
2. We will show you what data we stole from you and decrypt 1 test file of your choice so you know that all your files are recoverable.
3. We will negotiate a ransom price with you and you pay it.
4. We give you a decryptor for your data, as well as logs of secure deletion all your data.
5. We give you a technical report on how your network was infiltrated.

YOUR PERSONAL ID: -

OUR CONTACTS:
1. SESSION
Download Session Messenger (hxxps://getsession.org/)
Our Session ID:
0528d01425626aa9727970af4010c22f5ec5c3c1e7cd21cbecc762b88deb83d03c

2. TOX MESSENGER
Download Tox (hxxps://tox.chat/)
Our Tox ID:
D29B1DD9540EFCC4A04F893B438956A0354A66A31277B65125E7C4BF2E092607338C93FDE53D

Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
* If you do not contact us within 7 days, we will post your sensitive data on our blog and report the leak to your partners, customers, employees, as well as to regulators and the media.