Hype-kiristysohjelmat

Hype-kiristysohjelma on tyypillinen esimerkki nykyaikaisesta tiedostojen salaamisesta haittaohjelmasta: se sekoittaa uhrien tiedot, jättää lunnasvaatimuksen ja lisää salattuihin tiedostoihin erillisen tiedostopäätteen ja tunnisteet. Laitteiden suojaaminen Hypen kaltaisilta uhilta on kriittistä, koska salauksen valmistuttua tiedostoja ei yleensä voida palauttaa ilman hyökkääjän yksityistä avainta, eikä hyökkääjille maksaminen takaa palautumista, vaan kannustaa lisärikoksiin.

Mitä hype tekee — Käyttäytymisen yhteenveto

Analyysi osoittaa, että Hype kohdistaa hyökkäyksensä käyttäjätiedostoihin ja nimeää ne uudelleen siten, että ne sisältävät hyökkääjien yhteystiedot ja yksilöllisen uhritunnuksen, ja lisää sitten uuden tiedostopäätteen. Analysoiduissa otoksissa tiedostot nimetään uudelleen seuraavan kaavan mukaisesti:
'alkuperäinennimi.ULKOISESTI' → 'alkuperäinennimi.ULKOISESTI.SÄHKÖPOSTI=[transhype@gmail.com]
]ID=[000C91DC347DF549].hype'

Lähetetään lunnasvaatimus, jonka nimi on suunnilleen "hype Ransmoware.txt". Siinä väitetään järjestelmän olevan "suojaamaton", tarjotaan tilanteen "korjaamista" ja kehotetaan uhreja lähettämään testitiedosto salauksen purkamiseksi. Viestissä on kaksi sähköpostiosoitetta: "ranshype@gmail.com".
ja yhteydenottotapana 'ranshype@tuta.io' sekä Telegram-käyttäjätunnus (@hype20233).

Hyökkäyksen toimintaperiaate – tekninen yleiskatsaus

Hype noudattaa yleistä kiristyshaittaohjelmien elinkaarta. Ensimmäisen suorituksen jälkeen (usein haitallisen liitetiedoston, latausohjelman, hyökkäyshaavoittuvuuden tai murretun ohjelmiston kautta) se skannaa tavoitettavissa olevan tallennustilan kohdetiedostotyyppien varalta, salaa ne symmetrisellä avaimella ja tyypillisesti salaa tai suojaa sitten kyseisen avaimen toisella, hyökkääjän hallussa olevalla mekanismilla. Salatut tiedostot nimetään uudelleen omistajuuden merkitsemiseksi ja uhrien ohjaamiseksi kiristysviestiin. Koska salauksen purkaminen vaatii hyökkääjän avaimen tai aiemmin valmistellun varmuuskopion, uhreilla, joilla ei ole luotettavia varmuuskopioita, on vain vähän palautusvaihtoehtoja.

Vaikutus ja toipuminen

Kiristyshaittaohjelmat, kuten Hype, aiheuttavat tietojen menetystä, toiminnan häiriöitä ja mahdollisia liiketoiminnan menetyksiä tai sääntelyyn liittyviä riskejä. Palauttaminen ilman varmuuskopioita on epätodennäköistä: useimpia salattuja tiedostoja ei voida palauttaa ilman hyökkääjän salauksen purkutyökalua. Uhreja kehotetaan vahvasti olemaan olettamatta, että maksu takaa tiedostojen palautuksen – hyökkääjät eivät välttämättä pysty toimimaan salauksen purkamisen jälkeen, vaativat lisämaksua tai käyttävät varastettuja tietoja uudelleen. Oikea palautustapa sisältää yleensä tartunnan saaneiden järjestelmien eristämisen, tunnetusti toimivien varmuuskopioiden pyyhkimisen ja palauttamisen sekä infrastruktuurin vahvistamisen uudelleentartunnan estämiseksi.

Parhaat turvallisuuskäytännöt riskien vähentämiseksi

Säännölliset varmuuskopiot ja testatut palautukset : Pidä kriittisistä tiedoista vähintään kaksi kopiota, yksi paikallisesti nopeaa palautusta varten ja yksi muualla tai pilvipalvelussa, ja varmista, että varmuuskopiot ovat erillään, jotta kiristysohjelmat eivät pääse niihin käsiksi. Testaa palautuksia usein.

Korjauspäivitysten ja inventaarion hallinta : ylläpidä ajantasaista ohjelmisto- ja resurssi-inventaariota ja asenna tietoturvakorjaukset viipymättä käyttöjärjestelmiin, sovelluksiin ja verkkolaitteisiin.

Vähiten oikeuksien periaate ja verkon segmentointi : rajaa käyttäjien oikeudet niin, että vain niitä tarvitsevilla on pääsy niihin; segmentoi verkot niin, että tartunnan saanut päätepiste ei pääse vapaasti käsiksi varmuuskopioihin, palvelimiin tai muihin segmentteihin.

Päätelaitteiden tunnistus ja reagointi (EDR) + haittaohjelmien torjunta : ota käyttöön moderni EDR/virustorjunta, jossa on käyttäytymisen tunnistus, joka pystyy estämään epäilyttävän salaustoiminnan tai hälyttämään siitä; hienosäädä hälytyksiä kohinan vähentämiseksi ja varmista oikea-aikainen ihmisen tekemä tarkistus.

Sähköpostin ja verkon suojaus : käytä edistynyttä sähköpostisuodatusta, estä epäilyttävät liitteet ja makroja käyttävät asiakirjat ja ota käyttöön verkon suodatus estääksesi käyttäjiä pääsemästä tunnetuille haitallisille sivustoille.

Monivaiheinen todennus (MFA) : edellyttää monivaiheista todennusta etäkäytössä, järjestelmänvalvojan tileillä ja pilvipalveluissa tilin kaappauksen riskin vähentämiseksi.

Maksun välttäminen ja eteenpäin siirtyminen

Lunnaiden maksaminen on riskialtis ja usein tehoton vaihtoehto; se ei takaa tiedoston palauttamista ja tarjoaa lisärahoitusta rikollisille toimille. Keskity sen sijaan resursseihin hyökkäyksen rajoittamiseen, varmuuskopioista palauttamiseen ja tietoturvan parantamiseen, jotta vastaava hyökkäys ei voi onnistua uudelleen. Jos sinulla ei ole sisäistä osaamista, käytä hyvämaineisia tietoturvaloukkauksiin ja rikosteknisiin tutkimuksiin erikoistuneita yrityksiä apunasi. Nopea ja asiantunteva toiminta vähentää vahinkoja ja parantaa täydellisen toipumisen mahdollisuuksia.