AntiHacker-kiristysohjelmat

Henkilö- ja yritystietojen suojaaminen nykyaikaisilta haittaohjelmauhilta ei ole enää valinnaista, vaan se on operatiivinen välttämättömyys. Kiristysohjelmien ylläpitäjät jatkavat taktiikoidensa, työkalujensa ja sosiaalisen manipuloinnin järjestelmiensä hiomista maksimoidakseen häiriöt ja kiristääkseen maksuja. Jopa pienemmät organisaatiot ja kotikäyttäjät joutuvat säännöllisesti iskujen kohteeksi, ja toipuminen voi olla vaikeaa tai mahdotonta ilman valmistautumista. Xorist-perheeseen kuuluva AntiHacker-kiristysohjelma on juuri tällainen uhka.

UHKA-YLEISKATSAUS JA SUKUPERÄ

AntiHacker on tietoturvatutkijoiden löytämä haittaohjelma, joka luokitellaan Xorist-kiristysohjelmaperheeseen. Xorist-pohjaiset uhat rakennetaan tyypillisesti paketista, jota hyökkääjät voivat mukauttaa muuttamalla näytettävää lunnasvaatimusta, tiedostopäätettä, kielielementtejä ja muita parametreja. AntiHacker noudattaa tuttua Xorist-käsikirjaa: se salaa uhrin tiedot ja vaatii sitten maksua vastineeksi väitetystä salausavaimesta.

TIEDOSTOJEN SALAUKSEN KÄYTTÄYTYMINEN JA MERKINTÄ

Kun AntiHacker murtautuu järjestelmään, se etsii käyttäjien saatavilla olevia tietoja paikallisilta asemista ja mahdollisesti myös yhdistetyistä verkkosijainneista. Kohteena on laaja valikoima tiedostotyyppejä, kuten dokumentteja, kuvia, arkistoja, multimediatiedostoja ja muita arvokkaita tietovarastoja. Jokainen salattu kohde nimetään uudelleen lisäämällä merkkijono '.antihacker2017' alkuperäisen tiedostonimen loppuun. Esimerkiksi alun perin nimeltään '1.png' olevasta tiedostosta tulee '1.png.antihacker2017'; '2.pdf':stä tulee '2.pdf.antihacker2017'; ja tämä kaava toistuu kaikissa käsitellyissä tiedostoissa. Lisätyllä tiedostopäätteellä on kaksi tarkoitusta: se viestii visuaalisesti uhrille murtautumisesta ja auttaa kiristysohjelmaa tunnistamaan, mitkä kohteet se on jo käsitellyt.

LUNNASMUISTIT, PONNAHDUSIKKUNAT JA TAUSTAKUVAVIESTIT

Salausrutiinin suoritettuaan AntiHacker muokkaa uhrin työpöydän taustakuvaa ja lähettää lunnasvaatimuksen kahdessa rinnakkaisessa muodossa: ponnahdusikkunassa ja tekstitiedostossa nimeltä 'КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt' (venäjäksi 'MITEN PURKAA TIEDOSTOJA'). Ponnahdusikkunassa ja tekstitiedostossa näkyvä viesti on sama. Taustakuvaversio sisältää kuitenkin lisää sosiaalisen manipuloinnin kieltä, jonka oletetaan perustelevan hyökkäystä sillä, että käyttäjä vieraili tietyillä aikuisille suunnatuilla tai laittomilla verkkosivustoilla. Tämän häpeällisen lähestymistavan tarkoituksena on painostaa uhreja maksamaan nopeasti ja hiljaa.

MERKKIKOODAUKSEN OMITUUS

Järjestelmissä, jotka eivät käytä kyrillistä merkistöä, ponnahdusikkunassa näkyvä lunnasvaatimusteksti voi näyttää lukukelvottomalta siansaksalta. Uhrit saattavat siksi nähdä vioittuneen viesti-ikkunan, mutta löytää silti luettavat ohjeet pudotetusta tekstitiedostosta. Hyökkääjät usein unohtavat lokalisointitiedot; puolustajat voivat käyttää tällaisia artefakteja apunaan ryhmitelläkseen niihin liittyviä tapauksia.

PAKKOMEKANIIKAT: KESKEISET PÄÄSYRAJOITUKSET JA UHKAVÄITTEET

Lunnasvaatimusohjeissa todetaan, että uhrien on otettava yhteyttä hyökkääjiin saadakseen salauksenpurkuavaimen. Niissä asetetaan myös korkea stressitasoinen rajoitus: avaimen syöttämistä sallitaan vain 50 kertaa, minkä jälkeen viestissä väitetään, että salatut tiedot menetetään pysyvästi. Lisävaroituksissa todetaan, että tietoturvatyökalujen käyttö, uudelleenkäynnistys tai koneen sammuttaminen tekee tiedostoista salaamattomia. Nämä pelottelutaktiikat ovat yleisiä kiristysohjelmien käsikirjoissa ja niiden tarkoituksena on estää käyttäjiä hakemasta ammattiapua tai yrittämästä turvallisia korjausmenetelmiä.

MIKSI LUNNAIDEN MAKSAMINEN ON RISKIALTTIISTA

Ei ole takeita siitä, että AntiHackerin (tai minkään muun kiristysohjelman) takana olevat kyberrikolliset toimittavat toimivan salauksen purkuratkaisun maksun jälkeen. Maksavat uhrit eivät usein saa mitään, saavat rikkinäisen avaimen tai joutuvat toistuvien kiristystoimien kohteeksi. Maksaminen rahoittaa myös meneillään olevia rikollisia toimia ja kannustaa uusiin hyökkäyksiin. Järkevä lähestymistapa on välttää maksamista aina kun mahdollista ja keskittyä itse hallinnassasi oleviin palautumisreitteihin.

TOIPUMISEN TODELLISUUDET

AntiHackerin poistaminen tartunnan saaneesta järjestelmästä voi pysäyttää tiedostojen lisäsalauksen, mutta se ei pura jo lukittujen tietojen salausta. Luotettavin palautustapa on palauttaa puhtaat kopiot tartunnan saaneista tiedostoista varmuuskopioista, jotka olivat eristettyjä, offline-tilassa tai muuten haittaohjelman ulottumattomissa. Jos toimivia varmuuskopioita ei ole, tietojen palautusvaihtoehdot ovat erittäin rajalliset.

PÄÄINFEKTIOVEKTORIT

Kiristysohjelmien tekijät käyttävät samaa laajaa jakeluekosysteemiä, joka ruokkii muita haittaohjelmaluokkia. AntiHacker ei ole poikkeus. Hyökkääjät naamioivat usein hyötykuormia laillisiksi ohjelmistoiksi tai niputtavat niitä krakattujen tai laittomasti kopioitujen ohjelmien, asiakirjojen tai asennusohjelmien kanssa. Pelkkä ansoilla varustetun tiedoston avaaminen voi käynnistää lataus- tai suoritusketjun.

• Sähköpostitse, yksityisviesteinä tai suorina viesteinä toimitetut tietojenkalastelu- ja sosiaalisen manipuloinnin houkuttimet, jotka sisältävät haitallisia liitteitä tai upotettuja linkkejä.
• Ohittaistut tai harhaanjohtavat lataukset, jotka on aloitettu vaarantuneilta tai haitallisilta verkkosivustoilta ilman käyttäjän selkeää suostumusta.
• Troijalaisten lataajat ja takaportit, jotka hakevat ja käynnistävät kiristyshaittaohjelmia hiljaa sisäänrakennettuna.
• Epäluotettavat latauslähteet, kuten ilmaisohjelmasivustot, kolmansien osapuolten hosting-sivustot ja vertaisverkkojen (P2P) tiedostonjakoverkot.
• Verkkohuijaukset ja haitallisten mainosten kampanjat, jotka ohjaavat käyttäjiä hyökkäyspakettien tai haitallisten hyötykuormien pariin.
• Laittomat ohjelmistojen aktivointityökalut ("crackit" / keygenit) ja väärennetyt ohjelmistopäivitykset, jotka asentavat haittaohjelmia laillisten korjauspäivitysten sijaan.
• Arkistot (ZIP, RAR jne.), suoritettavat tiedostot (EXE, RUN jne.), skriptitiedostot (esim. JavaScript) ja asiakirjamuodot (PDF, Microsoft Office, OneNote ja muut) aseistettiin tartuntaketjun käynnistämiseksi.

PUOLUSTUSSTRATEGIAN YLEISKATSAUS

Tehokas kiristyshaittaohjelmien torjunta yhdistää ihmiset, prosessit ja teknologian. Et voi luottaa vain yhteen suojausmekanismiin; oleta, että ainakin yksi kerros pettää. Yhdistä käyttäjätietoisuus, vahvistetut kokoonpanot, tiukka korjauspäivitys, vankat varmuuskopiointikäytännöt ja vahvat havaitsemis- ja reagointiominaisuudet vähentääksesi sekä AntiHacker-tyyppisen tunkeutumisen todennäköisyyttä että vaikutusta.

• Pidä varmuuskopiot tärkeistä tiedoista.
• Pidä käyttöjärjestelmät, sovellukset ja tietoturvatyökalut täysin ajan tasalla; asenna korjauspäivitykset viipymättä, erityisesti etäkäyttö- ja tiedostojenjakopalveluita varten.
• Käytä hyvämaineisia haittaohjelmien torjunta-/päätelaitteiden tunnistus- ja reagointiratkaisuja (EDR), joissa on käyttäytymiseen perustuva kiristysohjelmien tunnistus ja automaattiset palautusominaisuudet, jos niitä tuetaan.
• Ota käyttöön vähiten oikeuksia käyttävät käyttäjäoikeudet; suorita päivittäisiä tehtäviä muilla kuin järjestelmänvalvojan tileillä ja rajoita kirjoitusoikeuksia jaettuihin tietovarastoihin.
• Segmentoi verkot ja rajoita sivuttaisliikettä; eristä varmuuskopiointivarastot ja kriittiset palvelimet erillisille käyttöoikeustasoille.
• Vaadi monivaiheista todennusta (MFA) etäkirjautumisille, etuoikeutetuille toiminnoille ja varmuuskopioiden hallintakonsoleille.

JOHTOPÄÄTÖS

AntiHacker-kiristysohjelma havainnollistaa, kuinka uhkatoimijat soveltavat Xoristin kaltaisia kit-perheitä laatiakseen tehokkaita, alueellisesti kohdennettuja kiristysjärjestelmiä. Sen datan salaus, tiedostonimien merkitseminen, monikieliset lunnasvaatimusartefaktit ja pakottava viestintä on kaikki suunniteltu maksujen ohjaamiseksi. Vahvin vastatoimenpide on kuitenkin edelleen valmistautuminen: erilliset varmuuskopiot, kerrostetut puolustusmekanismit, informoidut käyttäjät ja kurinalainen toimintasuunnitelma. Organisaatiot ja yksityishenkilöt, jotka investoivat näihin suojatoimiin, voivat muuttaa mahdollisesti katastrofaalisen kiristysohjelmatapahtuman korjattavaksi.