LockBeast-kiristysohjelma

Kiristysohjelmat ovat edelleen yksi suurimmista kyberuhista sekä organisaatioille että kotikäyttäjille. Yksikin onnistunut tunkeutuminen voi lukita liiketoimintakriittiset tiedot, pysäyttää toiminnan ja käynnistää kalliita reagointi- ja palautumistoimia. Kerrostettujen puolustusjärjestelmien ja reagointivalmiuden rakentaminen ennen epidemiaa on ratkaiseva tekijä hallitun tapahtuman ja kriisin välillä.

UHKA YHTEENVETO

Kun LockBeast-kiristysohjelma on suoritettu, se salaa käyttäjätiedot, muokkaa tiedostonimiä lisätäkseen uhrin tunnisteen ja pudottaa lunnasvaatimuksen nimeltä "README.TXT". Operaattorit yhdistävät salauksen tietovarkauksiin painostaakseen uhreja maksamaan ja uhkaavat vuotaa arkaluonteisia tietoja, jos yhteyttä ei saada asetetun ajan kuluessa.

SALAUKSEN JA TIEDOSTOJEN UUDELLEENNIMENEMISEN TYÖNKULKU

Salauksen aikana LockBeast lisää kohdennettuihin tiedostoihin sekä uhrikohtaisen tunnuksen että tiedostopäätteen '.lockbeast'. Esimerkiksi tiedostosta '1.png' tulee '1.png.{ED08A034-A9A0-4195-3CC2-81B2521AD6B5}.lockbeast' ja tiedostosta '2.pdf' tulee '2.pdf.{ED08A034-A9A0-4195-3CC2-81B2521AD6B5}.lockbeast.' Tämä malli antaa hyökkääjille mahdollisuuden seurata yksittäisiä uhreja ja vahvistaa maksut ennen salauksen purkamista. Salausrutiinin tavoitteena on kattaa laaja valikoima tietotyyppejä, mukaan lukien asiakirjat, tietokannat, arkistot, mediat ja lähdekoodivarastot.

LUNNASMAKSUN JA KAKSOISKIRISTYSTAKTIIKOITA

'README.TXT'-muistiossa väitetään, että kaikki tärkeät tiedostot eivät ole käytettävissä, ja väitetään arkaluonteisten tietojen, kuten tapahtumahistorian, asiakkaiden henkilötietojen, maksukorttitietojen ja tilisaldojen, vuotaneen hyökkääjän infrastruktuuriin. Muistiinpanossa annetaan yhteystiedot yksityisyyteen keskittyvien viestipalveluiden (Session ja Tox) kautta, varoitetaan tiedostojen uudelleennimeämisestä tai kolmannen osapuolen salauksenpurkuohjelmien käytöstä ja asetetaan seitsemän päivän määräaika ennen väitettyjen tietojen julkaisemista. Tämä yhdistää klassisen tiedostojen salaamiseen perustuvan kiristyksen julkisten vuotojen uhkauksiin paineen lisäämiseksi. Maksaminen on edelleen riskialtista: ei ole takeita toimivasta salauksen purkamisesta, täydellisestä tietojen palauttamisesta tai varastettujen tietojen poistamisesta, vaikka lunnaat lähetettäisiin.

ALKUPERÄINEN SAATAVUUS- JA JAKAUMAVEKTORIT

Havaitut ja todennäköiset jakelumenetelmät vastaavat yleisiä kiristyshaittaohjelmien toimintaa. Uhkatoimijat levittävät tartuntoja haitallisten sähköpostiliitteiden tai linkkien, troijalaisten tai laittomasti kopioitujen ohjelmistojen ja avaingeneraattoreiden, sosiaalisen manipuloinnin "tuki"-huijausten ja korjaamattomien haavoittuvuuksien hyödyntämisen kautta. Muita reittejä ovat drive-by- tai haitallisen mainostamisen uudelleenohjaukset, kolmannen osapuolen lataajat, vaarantuneet tai samannäköiset verkkosivustot, tartunnan saaneet siirrettävät tallennusvälineet ja vertaisverkkojen tiedostojen jakaminen. Suoritus alkaa usein, kun käyttäjä avaa ansoilla varustetun suoritettavan tiedoston, arkiston, Office- tai PDF-dokumentin tai komentosarjan.

ERISTYS- JA HÄVITTÄMISOHJEET

Jos LockBeastin epäillään saaneen järjestelmän, toimi välittömästi. Eristä tartunnan saaneet koneet verkosta (langallinen ja langaton verkko) estääksesi lisäsalaus ja sivuttaisleviämisen. Poista jaetut asemat käytöstä ja peruuta epäilyttävät käyttöoikeustunnukset tai istunnot. Säilytä haihtuvat esineet ja lokit rikostutkintaa varten ja poista sitten haittaohjelma luotettavan, täysin ajan tasalla olevan tietoturvaratkaisun tai tunnetusti toimivan tapausten vasteympäristön avulla. Palauta tiedot vasta puhtaista, offline-varmuuskopioista sen jälkeen, kun olet varmistanut, että uhka on poistettu; muuten uudelleentartunta voi salata palautetut tiedot uudelleen.

ELPYMINEN JA LIIKETOIMINTAVAIKUTUS

Salauksen purkaminen ilman hyökkääjien työkaluja ei yleensä ole mahdollista, ellei varmuuskopioita ole. Priorisoi kriittisimpien palveluiden palauttamista muuttumattomista tai offline-tilannevedoksista. Käsittele kaikkia tietovuodon paljastumisväitteitä uskottavina, kunnes toisin todistetaan: arvioi, mitä tietoja on saattanut paljastua, laadi ilmoituksia, jos laki tai sopimus sitä edellyttää, ja seuraa väärinkäytöksiä (esim. asiakkaisiin kohdistuvia petoksia).

MAKSAMISTA KOSKEVAT PÄÄTÖSKOHDAT

Vaikka jokaisella tapauksella on omat operatiiviset ja oikeudelliset näkökohtansa, lunnaiden maksaminen rahoittaa rikollista toimintaa eikä tarjoa takeita tietojen täydellisestä palauttamisesta tai salassapidosta. Harkitse ensin vaihtoehtoja: palauttaminen varmuuskopioista, osittainen tietojen rekonstruointi ja asiakkaan suojaustoimenpiteet.

YHTEENVETO

LockBeast yhdistää aggressiivisen salauksen tietovuotouhkiin pakottaakseen uhrit toimimaan. Nopea eristäminen, kurinalainen hävittäminen ja luotettavat offline-varmuuskopiot ovat ratkaisevan tärkeitä toipumiselle. Pitkällä aikavälillä organisaatiot, jotka investoivat korjauksiin, vähiten käyttöoikeuksia käyttäviin ohjelmiin, vankkaan sähköposti- ja verkkohallintaan sekä realistiseen valmiuteen tapahtumiin, vähentävät merkittävästi sekä kiristyshaittaohjelmien todennäköisyyttä että vaikutusta.