תוכנת כופר SWIFT
חוקרים גילו איום חדש של תוכנת כופר בשם SWIFT Ransomware, המהווה סיכון משמעותי לאבטחת הנתונים של הקורבנות. תוכנה מאיימת זו משתמשת באלגוריתם הצפנה חזק, מה שהופך מגוון רחב של קבצים לבלתי נגיש לחלוטין. יש לציין כי תוכנת הכופר של SWIFT חורגת מעבר להצפנה בלבד, מכיוון שהיא משנה באופן פעיל את שמות הקבצים של הקבצים המושפעים, משנה את טפט שולחן העבודה במערכת שנפרצה, ויוצרת הערת כופר שכותרתה '#SWIFT-Help.txt'.
תהליך שינוי שם הקובץ כולל הוספת כתובת הדואר האלקטרוני 'swift_1@tutamail.com' וא. סיומת 'SWIFT' לשמות הקבצים המקוריים. לדוגמה, קובץ שנקרא במקור '1.png' יהפוך ל-'1.png.[swift_1@tutamail.com].SWIFT', ובאופן דומה, '2.pdf' יהפוך ל-'2.pdf.[swift_1@ tutamail.com].SWIFT,' וכן הלאה. אסטרטגיה זו משמשת לזיהוי הקבצים שנפלו קורבן להתקפת תוכנת הכופר.
חקירה נוספת של חוקרים אישרה ש-SWIFT Ransomware היא גרסה הקשורה למשפחת התוכנות הזדוניות של פרוטון .
תוכנת הכופר של SWIFT סוחטת את קורבנותיה תמורת כסף
פתק הכופר שהופק על ידי תוכנת הכופר SWIFT מתחיל בהצגת המצב הקשה, ומסביר שהמבצעים השתמשו באלגוריתמי הצפנה מתקדמים, במיוחד AES ו-ECC, כדי להצפין ולגזול את כל הקבצים של הקורבן. השימוש באלגוריתמים אלו מודגש כהופך שחזור קבצים ללא שירות הפענוח שמציע התוקפים כמעט לבלתי אפשרי.
בהמשך לכך, מפרט הפתק את הצעדים הדרושים להחלמה, תוך שימת דגש על המניעים הכלכליים של התוקפים. פושעי הסייבר מציעים עסקה שבה הקורבן יכול להשיג תוכנת פענוח ולהבטיח השמדת נתונים על ידי ביצוע תשלום. כדי לבסס אמינות, הקבוצה מציעה לשלוח קובץ קטן וחסר חשיבות (פחות מ-1 MB) לפענוח כהדגמה ליכולתם לקיים את הבטחותיהם.
פרטי התקשרות לתקשורת מסופקים, כולל כתובת דוא"ל (swift_1@tutamail.com) ומזהה טלגרם (@swift_support). כתובת דוא"ל חלופית (swift@onionmail.com) מוצעת במקרה של חוסר מענה תוך 24 שעות. הנפגע מתבקש לכלול את תעודת הזהות שלו בנושא המייל לצורכי זיהוי.
ההערה מסתיימת באזהרות חמורות מפני פנייה לסיוע מחברות שחזור מידע, ומזהירה כי גופים כאלה עלולים לנצל את המצב לרווח כספי. יתר על כן, מומלץ מאוד לקורבן שלא לעכב את התשלום והוא מוזהר מפני מחיקה או שינוי של קבצים מוצפנים כדי למנוע סיבוכים אפשריים במהלך תהליך הפענוח.
מודגש כי תשלום כופר מומלץ מאוד, שכן הוא לא רק מנציח התנהגות פלילית אלא גם אינו מבטיח שחזור מוצלח של נתונים. קורבנות נקראים לבחון שיטות חלופיות להתמודדות עם התקפות כופר שאינן כרוכות בכניעה לדרישות התוקפים.
כיצד להגן על הנתונים והמכשירים שלך מפני איומי כופר?
כדי לשמור על הנתונים והמכשירים שלהם מפני איומי תוכנות כופר, על המשתמשים לאמץ גישה מקיפה לאבטחת סייבר. להלן חמישה אמצעי אבטחה חיוניים שיש ליישם בכל המכשירים:
גיבויים רגילים : ודא שבוצע גיבוי קבוע של נתונים קריטיים. יש לאחסן גיבויים בסביבה מבודדת, כגון כונן קשיח חיצוני או שירות ענן מאובטח.
הפוך את תהליך הגיבוי לאוטומטי במידת האפשר כדי להפחית את הסבירות לשכוח לגבות מידע קריטי.
תיקוני תוכנה ואבטחה עדכניים :
- שמור על עדכון תוכנת מערכות ההפעלה עם תיקוני האבטחה העדכניים ביותר.
- התקן בקביעות עדכונים כדי לטפל בפרצות שפושעי סייבר עלולים לנצל.
- אפשר עדכונים אוטומטיים כדי להבטיח שתיקוני אבטחה מיושמים באופן מיידי.
השתמש בפתרונות חזקים נגד תוכנות זדוניות :
- התקן תוכנה מוכרת נגד תוכנות זדוניות בכל המכשירים.
- ודא שתוכנת האבטחה מתעדכנת באופן קבוע כדי לזהות ולהגן מפני איומי כופר מתפתחים.
- בצע סריקות רגילות כדי לזהות ולחסל תוכנות זדוניות פוטנציאליות במכשיר.
היזהר בשימוש בדוא"ל ובאינטרנט : היזהר מהודעות דוא"ל דיוג וקבצים מצורפים לא ידועים. הימנע מלחיצה על קישורים מפוקפקים או הורדת קבצים ממקורות לא מאומתים.
השתמש בכלי סינון דואר אלקטרוני כדי לזהות ולסנן מיילים שעלולים להזיק. למדו את עצמכם ואת הצוות שלכם לגבי הסימנים של ניסיונות דיוג.
יישם חינוך ומודעות למשתמשים : למד את המשתמשים על הסיכונים הכרוכים בתוכנת כופר ועל החשיבות של היגיינת אבטחת סייבר. קדם שיטות סיסמה חזקות, כולל שימוש בסיסמאות ייחודיות ואימות דו-גורמי (2FA) במידת האפשר.
עודד תרבות של ספקנות, שבה משתמשים בודקים את הלגיטימיות של בקשות למידע רגיש או הורדות קבצים בלתי צפויות.
על ידי שילוב אמצעי אבטחה אלה בפרקטיקות השגרתיות שלהם, משתמשים יכולים לשפר משמעותית את ההגנה שלהם מפני איומי תוכנות כופר. גישה רב-שכבתית המשלבת גיבויים קבועים, עדכוני תוכנה, פתרונות אבטחה חזקים, התנהגות מקוונת זהירה וחינוך משתמשים יכולים ליצור ביחד הגנה חזקה מפני הנוף המתפתח של איומי סייבר.
בפתק הכופר שנפל על ידי תוכנת הכופר של SWIFT נכתב:
'~ SWIFT ~
What happened?
We encrypted and stolen all of your files.
We use AES and ECC algorithms.
Nobody can recover your files without our decryption service.How to recover?
We are not a politically motivated group and we want nothing more than money.
If you pay, we will provide you with decryption software and destroy the stolen data.What guarantees?
You can send us an unimportant file less than 1 MG, We decrypt it as guarantee.
If we do not send you the decryption software or delete stolen data, no one will pay us in future so we will keep our promise.How to contact us?
Our email address: swift_1@tutamail.com
Our Telegram ID: @swift_support
In case of no answer within 24 hours, contact to this email: swift@onionmail.com
Write your personal ID in the subject of the email.>
Your personal ID: - <<<<< >Warnings!
Do not go to recovery companies, they are just middlemen who will make money off you and cheat you.
They secretly negotiate with us, buy decryption software and will sell it to you many times more expensive or they will simply scam you.Do not hesitate for a long time. The faster you pay, the lower the price.
Do not delete or modify encrypted files, it will lead to problems with decryption of files.'
ההודעה שנמסרה על ידי SWIFT Ransomware כתמונת רקע לשולחן העבודה היא:
'!!! SWIFT !!!
We encrypted and stolen all of your files.
Our email address: swift_1@tutamail.com
In case of no answer within 24 hours, contact to this email: swift@onionmail.com
Your personal ID:'
