Monen lisenssin alennustarjous
Uhatietokanta Ransomware Mortar Ransomware

Mortar Ransomware

Vuonna Mezo vuonna Ransomware
Käännä:

Haittaohjelmat ovat edelleen yksi merkittävimmistä kyberturvallisuusuhista, joita sekä organisaatiot että yksilöt kohtaavat. Nykyaikaiset kiristysohjelmahyökkäykset voivat häiritä liiketoimintaa, aiheuttaa vakavia taloudellisia tappioita ja vaarantaa arkaluonteisia tietoja muutamassa tunnissa. Kiristysohjelmaryhmien kehittyessä yhä monimutkaisemmiksi, vahvojen turvatoimien ja ennakoivien puolustusmenetelmien ylläpitäminen on välttämätöntä arvokkaiden tietojen suojaamiseksi ja toiminnan jatkuvuuden varmistamiseksi.

Mortar-kiristysohjelmat yhdellä silmäyksellä

Mortar-kiristysohjelma on kyberturvallisuustutkijoiden tunnistama tiedostoja salaava haittaohjelmatyyppi. Uhka on suunniteltu ensisijaisesti yritysympäristöihin, joissa hyökkääjät pyrkivät maksimoimaan toiminnan häiriöitä ja lisäämään uhrien painetta maksaa lunnaita. Kun Mortar on asennettu vaarantuneeseen verkkoon, se salaa tiedostot ja jättää jälkeensä lunnasvaatimuksen, joka on nimetty uhrin yksilöllisen tunnisteen mukaan muotoa 'README-[uhrin ID].txt'.

Tämän kiristyshaittaohjelman erottuva ominaisuus on sen tiedostojen uudelleennimeäminen. Salauksen aikana Mortar lisää yksilöllisen uhri-tunnuksen jokaiseen hyökkäyksen kohteena olevaan tiedostoon. Esimerkiksi alun perin nimeltään '1.png' oleva tiedosto voi muuttua muotoon '1.png.4RcrXfvVksS5ACA', kun taas esimerkiksi '2.pdf'-tiedosto voidaan muuntaa muotoon '2.pdf.4RcrXfvVksS5ACA'. Samaa tunnistetta käytetään sitten kiristysviestin tiedostonimessä, mikä luo suoran yhteyden uhrin ja hyökkäyksen välille.

Salausprosessi ja lunnaiden vaatimukset

Tunkeuduttuaan verkkoon Mortar salaa laajan valikoiman tietoja, kuten asiakirjoja, tietokantoja, valokuvia ja muita arvokkaita liiketoimintatiedostoja. Lunnasvaatimuksessa väitetään, että hyökkääjät käyttivät AES-256- ja RSA-2048-salausalgoritmeja uhrin tietojen lukitsemiseen. Vaikka tällaiset väitteet ovat yleisiä kiristysohjelmien käyttäjien keskuudessa, yleinen tavoite pysyy samana: tehdä tiedoista käyttökelvottomia ilman vastaavaa salausavainta.

Lunnasvaatimus ilmoittaa uhreille, että ainoa tapa palauttaa tiedostot on ostaa hyökkääjiltä salauksenpurkutyökalu. Kiinteän lunnassumman määrittämisen sijaan rikolliset ohjaavat uhrit Tor-pohjaiseen portaaliin ja antavat kirjautumistiedot, jotka koostuvat käyttäjätunnuksesta ja salasanasta. Tämä lähestymistapa antaa hyökkääjille mahdollisuuden neuvotella maksuista erikseen ja mahdollisesti säätää lunnasvaatimuksia uhriorganisaation koetun arvon perusteella.

Voidaanko salattuja tiedostoja palauttaa?

Kiristysohjelmien salaamien tiedostojen palauttaminen on usein erittäin vaikeaa ilman pääsyä hyökkääjien salauksen purkumekanismiin. Harvinaisissa tilanteissa kyberturvallisuustutkijat löytävät toteutusvirheitä tai kryptografisia heikkouksia, jotka mahdollistavat ilmaisten salauksen purkajien luomisen. Tällaiset tapaukset ovat kuitenkin harvinaisia, ja hyvin suunniteltujen kiristysohjelmien uhrien palautusvaihtoehdot ovat usein rajalliset.

Lunnaiden maksamista pidetään yleensä riskialttiina päätöksenä. Kyberrikollisilla ei ole velvollisuutta tarjota toimivaa salauksen purkutyökalua maksun vastaanottamisen jälkeen. Monet uhrit ovat kokeneet tilanteita, joissa varoja on siirretty, mutta palautustyökaluja ei ole koskaan toimitettu tai annetut työkalut eivät ole palauttaneet tietoja onnistuneesti. Tämän seurauksena maksu voi johtaa lisätaloudellisiin tappioihin ilman, että tiedostojen palautuminen on taattua.

Tartuntavektorit ja hyökkäystekniikat

Lannoitusohjelma voi tavoittaa uhrit useilla hyökkäysmenetelmillä, joita käytetään yleisesti kiristyshaittaohjelmien kampanjoissa. Tietojenkalastelu on edelleen yksi yleisimmistä tartuntavektoreista. Hyökkääjät levittävät sähköposteja, jotka sisältävät haitallisia liitteitä, kuten pakattuja arkistoja, suoritettavia tiedostoja tai Microsoft Office -asiakirjoja, joihin on upotettu haitallisia makroja. Kun nämä tiedostot avataan, ne voivat käynnistää kiristyshaittaohjelman asennusprosessin.

Muita tartuntareittejä ovat troijalaiset ohjelmistot, väärennetyt päivitysmekanismit, haitalliset mainoskampanjat, epäluotettavat latausportaalit ja epävirallisten kanavien kautta levitetyt piraattisovellukset. Nämä menetelmät hyödyntävät käyttäjien luottamusta ja riittämättömiä turvatoimia päästäkseen järjestelmiin käsiksi.

Kohdennettujen yrityshyökkäysten yhteydessä uhkatoimijat saattavat käyttää kehittyneempiä tekniikoita. Hyökkääjät yrittävät usein vaarantaa RDP-palveluita (Remote Desktop Protocol) raa'alla voimalla hyökkäyksillä heikkoja tunnistetietoja vastaan. He voivat myös hyödyntää internetiin kytkettyjen järjestelmien korjaamattomia haavoittuvuuksia saadakseen jalansijaa ennen kuin siirtyvät verkon poikki ja asentavat kiristysohjelmia useille laitteille samanaikaisesti.

Reagoiminen laastiinfektioon

Kun Mortar on havaittu, välitön eristäminen on kriittistä. Kiristysohjelman poistaminen tartuntajärjestelmistä auttaa estämään lisäsalaustoimintaa ja vähentää lisävahinkojen riskiä ympäristössä. Haittaohjelman poistamista ei kuitenkaan pidä sekoittaa tietojen palauttamiseen. Haittaohjelman poistaminen ei automaattisesti palauta salattuja tiedostoja.

Luotettavin palautusmenetelmä on edelleen ennen hyökkäystä luotujen puhtaiden varmuuskopioiden palauttaminen. Varmuuskopiot tulisi säilyttää erillään tuotantojärjestelmistä, jotta estetään kiristyshaittaohjelmien salaaminen varmuuskopiotietokannoista hyökkäyksen aikana. Organisaatiot, jotka ylläpitävät turvallisia ja erillisiä varmuuskopioita, ovat yleensä paljon paremmassa asemassa toipumaan kiristyshaittaohjelmahyökkäyksistä ilman kyberrikollisten kanssa toimimista.

Vahvan suojan rakentaminen kiristysohjelmia vastaan

Tehokas kiristyshaittaohjelmien torjunta edellyttää monikerroksista tietoturvastrategiaa, joka yhdistää teknologian, käyttäjätietoisuuden ja ennakoivan ylläpidon. Organisaatioiden tulisi päivittää käyttöjärjestelmiä, sovelluksia ja verkkolaitteita säännöllisesti hyökkääjien yleisesti hyödyntämien haavoittuvuuksien poistamiseksi. Vahvat todennuskäytännöt, erityisesti etäkäyttöpalveluissa, voivat vähentää merkittävästi luvattoman pääsyn riskiä.

Yhtä tärkeää on kehittää vankka varmuuskopiointistrategia. Kriittiset tiedot tulisi kopioida useisiin sijainteihin, mukaan lukien offline- tai irrotettuihin tallennustiloihin, joihin ei päästä käsiksi vaarantuneista järjestelmistä. Säännöllinen varmuuskopiointitestaus varmistaa, että palautusmenettelyt toimivat oikein hätätilanteessa.

Keskeisiä turvallisuuskäytäntöjä ovat:

  • Pidä säännöllisesti varmuuskopioita erillisissä ja suojatuissa paikoissa.
  • Asenna tietoturvapäivitykset ja -korjaukset heti, kun ne tulevat saataville.
  • Käytä vahvoja ja yksilöllisiä salasanoja ja ota käyttöön monivaiheinen todennus.
  • Tarpeettomien etäkäyttöpalveluiden rajoittaminen ja kirjautumisyritysten valvonta.
  • Työntekijöiden kouluttaminen tunnistamaan tietojenkalasteluviestit ja epäilyttävät liitteet.
  • Luotettavien päätepisteiden suojaus- ja verkonvalvontaratkaisujen käyttöönotto.

Organisaatioiden tulisi myös omaksua vähiten oikeuksien periaate, jolloin käyttäjille myönnetään vain heidän rooliensa edellyttämät käyttöoikeudet. Jatkuva valvonta, tietoturvatarkastukset ja tapausten käsittelysuunnittelu vahvistavat entisestään vastustuskykyä kiristyshaittaohjelmakampanjoita, kuten Mortaria, vastaan. Ennaltaehkäisevien toimenpiteiden, nopeiden havaitsemisominaisuuksien ja luotettavien varmuuskopiojärjestelmien yhdistelmä on edelleen tehokkain puolustus nykyaikaisia tiedostojen salaamiseen liittyviä uhkia vastaan.

Johtopäätös

Mortar-kiristysohjelma on vakava uhka yritysverkoille, koska se pystyy salaamaan arvokasta tietoa, häiritsemään toimintaa ja painostamaan uhreja maksamaan salauksen purkamisesta. Liittämällä salattuihin tiedostoihin yksilöllisiä tunnisteita ja ohjaamalla uhrit erilliseen kiristysportaaliin hyökkääjät osoittavat jäsenneltyä ja kohdennettua lähestymistapaa. Vaikka salattujen tiedostojen palauttaminen voi olla haastavaa, organisaatiot, jotka priorisoivat vahvat kyberturvallisuuskäytännöt, ylläpitävät erillisiä varmuuskopioita ja puuttuvat haavoittuvuuksiin ennakoivasti, voivat vähentää kiristysohjelmatapausten vaikutusta merkittävästi ja parantaa yleistä tietoturvatilannettaan.

System Messages

The following system messages may be associated with Mortar Ransomware:

--------------------------------------------
| What happened to your files?
--------------------------------------------

We breached your corporate network and encrypted the data on your computers. The encrypted data includes documents, databases, photos and more - all were encrypted using a military grade encryption algorithms (AES-256 and RSA-2048). You cannot access those files right now. But don't worry!

You can still get those files back and be up and running again in no time.

---------------------------------------------
| How to contact us to get your files back?
---------------------------------------------

The only way to restore your files is by purchasing a decryption tool loaded with a private key we created specifically for your network.

Once run on an effected computer, the tool will decrypt all encrypted files - and you can resume day-to-day operations, preferably with better cyber security in mind. If you are interested in purchasing the decryption tool contact us at hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion.

!IMPORTANT!
TO RESTORE YOUR FILES CONTACT US VIA TOR BROWSER

WEBSITE: hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion
USERNAME: sid
PASSWORD: 4RcrXfvVksS5ACA

BACKUP LINK TO SUPPORT TEAM: hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion
!!!!!!!!!!!

Trendaavat

LinkedIn-yhteistyösähköpostihuijaus

Tietojenkalastelu, Roskaposti
LinkedIn Collaboration -huijauksen takana olevat kyberrikolliset yrittävät houkutella vastaanottajia näennäisillä liiketoimintatiedusteluilla. Sähköpostien väitetään olevan peräisin ostajalta nimeltä Jonathan Spriggs Storex Trading Ltd:stä, joka oletettavasti löysi vastaanottajan LinkedInin kautta ja haluaa keskustella suuresta 12 000 yksikön tuotetilauksesta. Jotta viesti vaikuttaisi aidolta,...

Microsoft Outlook -sähköpostiohjelmasi on...

Tietojenkalastelu, Roskaposti
”Microsoft Outlook -sähköpostiohjelmasi on vanhentunut” -sähköpostit ovat tietojenkalasteluviestejä, jotka on muotoiltu näyttämään Microsoft Outlookin virallisilta tietoturvailmoituksilta. Sähköpostit varoittavat vastaanottajia, että heidän sähköpostiohjelmansa on väitetysti vanhentunut, ja väittävät, että välittömän päivityksen laiminlyönti voi johtaa sähköpostien, yhteystietojen,...

Eniten katsottu

Ladataan...