Traders Ransomware

Kiristyshaittaohjelmat ovat edelleen yksi nopeimmin leviävistä ja häiritsevimmistä uhkista, joita yksilöt ja organisaatiot kohtaavat. Yksi onnistunut tunkeutuminen voi salata vuosien työn, paljastaa yksityisiä tietoja ja aiheuttaa kalliita seisokkeja. Aktiivisten kantojen seuraaminen ja kerrostettujen puolustusmenetelmien käyttäminen vähentää merkittävästi sekä hyökkäyksen todennäköisyyttä että vaikutusta.

Uhkaprofiili – Mitä on 'kauppiaat'?

Traders on tiedostoja salaava kiristyshaittaohjelma, jonka tietoturva-analyytikot ovat havainneet uhkienetsinnän ja haittaohjelmatutkimusten aikana. Kun se saa jalansijaa järjestelmässä, se salaa käyttäjätiedot ja muuttaa tiedostonimiä merkitäkseen panttivankitiedostot. Operaattorit vaativat sitten maksua salausavainta vastaan ja samalla painostavat käyttäjiä tietovuotouhkien avulla.

Erilaiset tiedostomerkit – miten tietosi nimetään uudelleen

Salauksen jälkeen Traders lisää uhrikohtaisen tunnisteen ja tiedostopäätteen '.traders' jokaiseen tiedostoon. Tunnistemalli sisältää uhrin tunnuksen aaltosuluissa, joten tietomurto on helppo havaita eri kansioissa. Esimerkiksi:

• 1.png-tiedostosta tulee muotoa 1.png.{C4FD8BC0-B92C-3E50-0D54-A8AAE232AC39}.traders
• Tiedostosta 2.pdf tulee muotoon 2.pdf.{C4FD8BC0-B92C-3E50-0D54-A8AAE232AC39}.kauppiaat

Lunnaita koskeva huomautus – Hyökkääjien vaatimukset ja väitteet

Traders pudottaa viestin nimeltä 'README.TXT'. Viestissä todetaan, että asiakirjat, valokuvat, tietokannat ja muut arvokkaat tiedostot on salattu, ja väitetään, että palauttaminen vaatii hyökkääjien hallussa olevan yksilöllisen yksityisen avaimen. Viesti yleensä estää itse tehtäviä salauksen purkuyrityksiä varoittamalla, että sopimattomat työkalut voivat vioittaa tietoja peruuttamattomasti. Se tarjoaa yhteystietoja, sähköpostiosoitteen ('traders@mailum.com') ja istuntoviesti-ID:n, jonka kautta uhreja ohjeistetaan neuvottelemaan.

Kaksinkertainen kiristys — tietovarkaus vipuvaikutuksena

Salauksen lisäksi viestissä uhkaillaan, että varastettua dataa myydään tai julkaistaan, jos maksua ei suoriteta. Tämä "kaksoiskiristys"-taktiikka pyrkii painostamaan varmuuskopioihin luottavia uhreja lisäämällä maineeseen, lakiin ja yksityisyyteen liittyviä riskejä.

Toipumisen todellisuus – mikä oikeasti auttaa

Nykyaikaisten kiristysohjelmien lukitsemia tiedostoja ei yleensä voida palauttaa ilman hyökkääjien salauksen purkajaa. Käytännössä palautusmahdollisuudet rajoittuvat puhtaisiin, offline-varmuuskopioihin, joihin ei saatu yhteyttä tapahtuman aikana. Lunnaiden maksamista ei suositella: toimivien salauksen purkamistyökalujen saamista ei voida taata, ja maksaminen ruokkii rikollista toimintaa.

Eristäminen ja hävittäminen – välittömät toimenpiteet

Jos Traders havaitaan, eristä tartunnan saaneet koneet verkosta välittömästi estääksesi lisäsalaus ja sivuttaisleviämisen. Säilytä rikostekniset esineet, mukaan lukien lunnasvaatimus, salattujen tiedostojen näytteet ja asiaankuuluvat lokit. Käytä hyvämaineista haittaohjelmien torjunta-/EDR-ratkaisua poistaaksesi hyötykuorman ja mahdolliset pysyvyysmekanismit. Hävittämisen jälkeen rakenna vaarantuneet järjestelmät uudelleen tai luo uusi näköistiedosto, vaihda tunnistetiedot ja tarkasta käyttöoikeusavaimet ja -tunnukset. Vasta sen jälkeen sinun tulisi aloittaa tietojen palauttaminen varmennetuista varmuuskopioista ja seurata tarkasti uudelleentartuntaa.

Alkuperäinen käyttöoikeus ja toimitus — Miten kauppiaat pääsevät järjestelmiin

Kuten monet muutkin kiristysohjelmaperheet, Traders leviää useiden kanavien kautta. Yleisiä pääsykohtia ovat haitalliset sähköpostiliitteet tai linkit, troijalaiset tai piraattiohjelmistot (mukaan lukien avainten generaattorit ja crackit), väärennetyt teknisen tuen houkutusohjelmat ja korjaamattomien haavoittuvuuksien hyödyntäminen. Uhkatoimijat käyttävät hyväkseen myös haitallista mainosta, vaarantuneita tai samannäköisiä verkkosivustoja, tartunnan saaneita siirrettäviä tallennusvälineitä, vertaisverkkoja, kolmansien osapuolten latausportaaleja ja ansoilla varustettuja tiedostotyyppejä, kuten suoritettavia asennusohjelmia, Office- tai PDF-dokumentteja, joihin on upotettu makroja tai skriptejä, sekä pakattuja arkistoja (ZIP/RAR), jotka purkavat dropper-tiedostoja.

Vahvista puolustustasi – Olennaiset turvallisuuskäytännöt

• Pidä offline-varmuuskopioita yllä.
• Korjaa ongelmat nopeasti. Priorisoi internet-palveluita ja ota käyttöön automaattisia päivityksiä aina kun se on mahdollista.
• Ota käyttöön hyvämaineinen tietoturvaohjelmisto, joka tarjoaa reaaliaikaisen suojauksen, toiminnan estämisen ja hallitun kansioiden käytön.
• Vahvista RDP:tä ja etäkäyttöä. Poista käytöstä tarvittaessa, rajoita sallittujen luettelon/VPN:n avulla, vaadi MFA:ta ja valvo raa'an voiman tai poikkeavien kirjautumisten varalta.
• Poista käytöstä riskialttiit makrot ja komentosarjat. Estä Office-makrojen pääsy internetistä, rajoita PowerShellin kieli rajoitettuun tilaan muille kuin järjestelmänvalvojille ja tarkista komentosarjojen suoritus.
• Suojaa selaimet ja lataukset. Käytä vain luotettavia palveluita, estä tunnetut haitalliset verkkotunnukset ja vältä kolmansien osapuolten latausohjelmia ja P2P-lähteitä.

Loppuajatukset

Kiristyshaittaohjelmat yhdistävät vahvan salauksen kiristyspaineeseen, mikä tekee valmistautumisesta parasta puolustusta. Pidä järjestelmät päivitettyinä, valvo pienimmän käyttöoikeuden omaavia käyttäjiä, ota käyttöön toimiva päätepisteiden suojaus, segmentoi verkot ja, mikä tärkeintä, ylläpidä testattuja offline-varmuuskopioita. Jos haittaohjelmat ovat jo vaikuttaneet yritykseesi, keskity eristämiseen ja ammattimaiseen korjaavaan toimenpiteeseen maksamisen sijaan.