תוכנת הכופר של פרינץ אויגן

עד Mezo ב-תוכנת כופר

לתרגם ל:

תוכנות זדוניות ממשיכות להתפתח, ותוכנות כופר נותרות אחת מאיומי הסייבר המזיקים ביותר העומדים בפני יחידים וארגונים. זיהום בודד יכול להוביל לאובדן נתונים קבוע, שיבושים תפעוליים והשלכות כלכליות משמעותיות. מכיוון שקמפיינים מודרניים של תוכנות כופר משתמשים לעתים קרובות בטכניקות מתוחכמות כדי להתחמק מגילוי ולמקסם נזק, שמירה על נוהלי אבטחת סייבר חזקים חיונית להגנה על מידע יקר ערך ומערכות קריטיות.

תוכן העניינים

מבצע כופרה שקט

Prinz Eugen הוא זן של תוכנת כופר שנכתב בשפת התכנות Go, מסגרת פיתוח שהפכה פופולרית יותר ויותר בקרב פושעי סייבר בשל ניידותה ויעילותה. הנוזקה נקשרה לגורם איום המכונה ROOTBOY והיא תוכננה למטרה עיקרית אחת: הצפנת נתונים והפיכתם לבלתי נגישים לקורבנות.

לאחר ההפעלה, Prinz Eugen מצפין קבצים ומוסיף את הסיומת '.prinzeugen' לכל שם קובץ מושפע. לדוגמה, קובץ בשם '1.png' הופך ל-'1.png.prinzeugen', בעוד ש-'2.pdf' משנה את שמו ל-'2.pdf.prinzeugen'. לאחר תהליך זה, לא ניתן עוד לפתוח את הקבצים כרגיל.

אחד המאפיינים יוצאי הדופן ביותר של Prinz Eugen הוא היעדר מוחלט של פתק כופר. בניגוד לרוב משפחות תוכנות הכופר המציגות הוראות תשלום באמצעות קבצי טקסט, טפטים לשולחן העבודה או דפי HTML, תוכנה זדונית זו אינה משאירה הודעה. הקורבנות אינם מקבלים הודעה ישירה על מה שקרה או כיצד להמשיך, מה שיוצר בלבול ומסבך את התגובה הראשונית.

הצפנה שנועדה למנוע שחזור

פרינץ אויגן מסתמך על אלגוריתם ההצפנה ChaCha20-Poly1305 כדי לנעול קבצים. הנוזקה מייצרת ערך אקראי ייחודי עבור כל קובץ מוצפן, כלומר שחזור קובץ אחד אינו מסייע בפענוח אף אחד מהאחרים. יישום זה מפחית משמעותית את הסיכויים לשחזור מוצלח באמצעות ניתוח קריפטוגרפי.

כדי להפריע עוד יותר לחקירה, תוכנת הכופר משתמשת במנגנון מחיקה עצמית מושהה לאחר השלמת שגרת ההצפנה. על ידי הסרתה מהמערכת הפגועה, פרינץ אויגן מפחיתה את כמות הראיות הפורנזיות הזמינות לחוקרים ומסבכת את מאמצי התגובה לאירועים.

למרבה הצער, שחזור קבצים ללא גישה לכלי הפענוח של התוקפים נחשב ללא מציאותי. גם אז, תשלום כופר נותר הימור מסוכן מכיוון שפושעי סייבר לעיתים קרובות אינם מצליחים לספק כלי פענוח תקין לאחר קבלת תשלום. הסרת התוכנה הזדונית יכולה למנוע נזק נוסף, אך היא אינה משחזרת נתונים שכבר מוצפנים. ברוב המקרים, שיטת השחזור האמינה היחידה היא שחזור קבצים מגיבויים נקיים המאוחסנים במצב לא מקוון או בשרתים מרוחקים מאובטחים.

כיצד התוקפים משיגים גישה

ניתוח מצביע על כך שפרוטוקול שולחן עבודה מרוחק (RDP) הוא אחת מנקודות הכניסה העיקריות בהן משתמשים מפעילי Prinz Eugen. תוקפים עלולים להשיג אישורים אלה באמצעות גניבת אישורים, שימוש חוזר בסיסמאות או התקפות Brute-force נגד שירותי RDP החשופים לאינטרנט. לאחר השגת גישה, הם יכולים לשלוט ישירות במחשב היעד ולהכין את הסביבה לפריסת תוכנת הכופר.

על פי הדיווחים, המפעילים משתמשים בכלי ניהול מרחוק בשלב ההפעלה לפני הפעלת תהליך ההצפנה. התנהגות זו משקפת מתודולוגיית תקיפה ממוקדת ומכוונת שנצפית בדרך כלל בפריצות נגד עסקים וארגונים.

כמו משפחות רבות של תוכנות כופר, Prinz Eugen עשויה להגיע לקורבנות גם דרך וקטורי הדבקה מסורתיים יותר. הודעות דיוג, סוסים טרויאניים, תוכנות פיראטיות וכלי הפעלת תוכנה בלתי חוקיים נותרו מנגנוני מסירה נפוצים. מטענים זדוניים יכולים להיות מוסווים כארכיונים, קבצי הפעלה, מסמכי Microsoft Office ותוכן אחר שנראה לגיטימי.

תקשורת ללא הוראות

למרות שלא הוכנסה פתק כופר למכשירים נגועים, ניתוחים זמינים מצביעים על כך שהמפעילים מצפים שהקורבנות יזמו את התקשורת בעצמם. על פי הדיווחים, ניתן ליצור קשר עם התוקפים באמצעות כתובות הדוא"ל prinzeugen@mail2tor.co ו- standardbankcc@cock.li. לא תועדה דרישת כופר קבועה באופן פומבי, מה שמותיר את הקורבנות בחוסר ודאות הן לגבי העלות והן לגבי הסבירות לשחזור הנתונים שלהם.

גישה לא שגרתית זו מדגישה את הטקטיקות המגוונות והולכות בהן משתמשים מפעילי תוכנות כופר, ומדגימה כי אין לפרש את היעדר הודעת הכופר כסימן לכך שניתן לשחזר קבצים בקלות.

חיזוק ההגנות מפני תוכנות כופר

הגנה יעילה מפני איומים כמו פרינץ אויגן דורשת אסטרטגיית אבטחה מרובדת. ארגונים ומשתמשים בודדים צריכים להתמקד בצמצום הזדמנויות לתוקפים לקבל גישה ראשונית, תוך הבטחה שאפשרויות שחזור יישארו זמינות במקרה של תקרית.

השיטות הבאות משפרות משמעותית את העמידות בפני הדבקות באמצעות תוכנות כופר:

שמרו גיבויים קבועים ואחסנו עותקים במצב לא מקוון או בסביבות ענן מאובטחות שלא ניתן לשנות אותן ישירות על ידי מערכות נגועות.
השתמש בסיסמאות חזקות וייחודיות והגן על שירותי גישה מרחוק כגון RDP באמצעות אימות רב-גורמי.
השבת שירותי גישה מרחוק מיותרים והימנע מחשיפת RDP ישירות לאינטרנט.
התקן עדכוני מערכת הפעלה ותוכנה באופן מיידי כדי למנוע פגיעויות ידועות.

פרוס תוכנת אבטחה בעלת מוניטין המסוגלת לזהות התנהגות חשודה ופעילות של תוכנות כופר.

יש לנקוט משנה זהירות בעת פתיחת קבצים מצורפים לדוא"ל, הורדת קבצים או התקנת תוכנה ממקורות לא מהימנים.

הימנעו משימוש בתוכנות פיראטיות, סדקים לתוכנה וכלי הפעלה לא מורשים.

מודעות לאבטחת סייבר חשובה באותה מידה. על המשתמשים לנטר מערכות לאיתור התנהגות חריגה, ליישם בקרות גישה המבוססות על עקרון ההרשאות הנמוכות ביותר, ולבדוק באופן קבוע נהלי שחזור גיבויים. ארגונים צריכים גם לתחזק תוכניות תגובה לאירועים ולהכשיר עובדים לזהות ניסיונות פישינג וטכניקות הנדסה חברתית אחרות.

מחשבות אחרונות

פרינץ אויגן מייצגת איום כופר מתוחכם וחמקמק המשלב הצפנה חזקה, טכניקות חדירה ממוקדות ויכולות מחיקה עצמית כדי למקסם את הנזק תוך מזעור ראיות פורנזיות. היעדר הודעת כופר הופך אותה לחריגה במיוחד ועלולה לעכב תגובה הולמת מצד הקורבנות. מכיוון שפענוח ללא כלי התוקפים אינו נחשב בר ביצוע, מניעה, אבטחת גישה חזקה וגיבויים אמינים נותרו ההגנות היעילות ביותר מפני תוכנה זדונית זו.

הגשת בקשה לפשיטת רגל של מעבד התשלומים של EnigmaSoft, Digital River GmbH, אינה משפיעה על ההגנה נגד תוכנות זדוניות של לקוחות SpyHunter

לחפש

שנה אזור