Crni TENGU ransomware

Zaštita računala, telefona i poslovnih mreža od zlonamjernog softvera više nije opcionalna. Moderne prijetnje mogu zaključati kritične datoteke, ukrasti osjetljive informacije, prekinuti operacije i uzrokovati ozbiljnu financijsku štetu u roku od nekoliko minuta. Obitelji ransomwarea poput Black TENGU Ransomwarea pokazuju kako kibernetički kriminalci kombiniraju enkripciju i krađu podataka kako bi prisilili žrtve na plaćanje.

Black TENGU Ransomware: Pregled prijetnji

Crni TENGU je sofisticirani soj ransomwarea koji su identificirali sigurnosni istraživači. Nakon što dobije pristup kompromitiranom uređaju, šifrira pohranjene datoteke tako da se više ne mogu normalno otvoriti. Tijekom procesa šifriranja, dodaje ekstenziju '.TENGU' pogođenim datotekama. Na primjer, datoteka pod nazivom '1.png' postaje '1.png.TENGU', dok se '2.pdf' preimenuje u '2.pdf.TENGU'.

Ovo ponašanje preimenovanja uobičajeni je pokazatelj aktivnosti ransomwarea, signalizirajući da su izvorni podaci transformirani u nečitljivo stanje. Žrtve tada ne mogu pristupiti osobnim dokumentima, bazama podataka, slikama, arhivama i drugim važnim datotekama.

Otkupninska poruka i pritisak dvostruke iznude

Crni TENGU također ostavlja poruku s zahtjevom za otkupninu pod nazivom '_README_TENGU.txt'. Prema poruci, napadači tvrde da su se infiltrirali u mrežu žrtve, ukrali povjerljive podatke i šifrirali datoteke u sustavu. U poruci se obećava alat za dešifriranje nakon uplate i navodi se da će ukradene informacije navodno biti izbrisane nakon što se otkupnina plati.

U poruci se nadalje upozoravaju žrtve da ne pokušavaju dešifriranje ili samostalno vraćanje podataka putem treće strane, tvrdeći da bi to moglo trajno oštetiti datoteke. Komunikacija se usmjerava putem adresa e-pošte poput 'tengulocker@cyberfear.com' i 'tengunlocker@onionmail.com', zajedno s portalom za chat temeljenim na Toru.

Ova taktika odražava rastući trend poznat kao dvostruka iznuda. Napadači se ne oslanjaju samo na enkripciju; oni također prijete da će javno objaviti ukradene podatke ako se ne izvrši plaćanje. To stvara dodatni pritisak na organizacije koje rukuju evidencijom kupaca, financijskim dokumentima ili vlasničkim informacijama.

Zašto je plaćanje otkupnine rizično

Iako se žrtve mogu osjećati zarobljenima, plaćanje otkupnine nosi značajan rizik. Kriminalne skupine često daju obećanja koja ne ispunjavaju. Neke žrtve nikada ne dobiju funkcionalan alat za dešifriranje, dok druge ponovno postanu meta nakon što pokažu spremnost platiti. Čak i kada se datoteke vrate, ukradeni podaci i dalje se mogu prodati, procuriti ili zadržati za buduću ucjenu.

Sigurniji put oporavka obično je vraćanje čistih sigurnosnih kopija nakon što je zlonamjerni softver u potpunosti uklonjen iz pogođenih sustava. Timovi za odgovor na incidente također bi trebali istražiti kako je došlo do upada kako bi spriječili ponovnu zarazu.

Kako se crni TENGU vjerojatno širi

Kao i mnoge obitelji ransomwarea, Black TENGU se može oslanjati na više kanala zaraze. Akteri prijetnji često koriste varljive metode isporuke koje prevarom navode korisnike da pokrenu zlonamjerne datoteke ili posjete nesigurne web stranice.

Uobičajene tehnike distribucije uključuju:

• Lažne e-poruke koje sadrže štetne priloge ili poveznice
• Lažna ažuriranja softvera, prevare tehničke podrške i zlonamjerni oglasi
• Iskorištavanje ranjivosti zastarjelog ili nezakrpanog softvera
• Piratski softver, crackovi, generatori ključeva i neslužbene stranice za preuzimanje
• Zaraženi USB pogoni, kompromitirane web stranice i peer-to-peer mreže za dijeljenje

Zlonamjerni softver često se maskira kao obične ZIP arhive, PDF-ovi, skripte, Office dokumenti ili izvršne datoteke.

Najbolje sigurnosne prakse za jačanje obrane od zlonamjernog softvera

Snažna prevencija kombinira tehnologiju, osviještenost i disciplinirano održavanje. Sustavi bi uvijek trebali koristiti pouzdan sigurnosni softver s omogućenom zaštitom u stvarnom vremenu. Operativni sustavi, preglednici, dodaci i poslovne aplikacije moraju se brzo zakrpati jer se poznate ranjivosti često koriste za implementaciju ransomwarea.

Pouzdane sigurnosne kopije jedna su od najučinkovitijih obrana. Važne podatke treba redovito kopirati na izvanmrežne ili lokacije u oblaku koje zlonamjerni softver ne može izravno mijenjati. Obnavljanje sigurnosnih kopija također treba testirati kako bi oporavak bio moguć tijekom stvarne hitne situacije.

Oprez s e-poštom i dalje je ključan. Neočekivane priloge, hitne zahtjeve za plaćanje, poruke o resetiranju lozinke i nepoznate poveznice treba tretirati sa sumnjom. Organizacije imaju velike koristi od obuke za osvješćivanje korisnika koja uči osoblje kako funkcioniraju phishing napadi.

Kontrola pristupa je jednako važna. Korisnici bi trebali izbjegavati rad s administratorskim ovlastima osim ako nije potrebno, a alate za udaljeni pristup poput RDP-a treba osigurati jakim lozinkama i višefaktorskom autentifikacijom. Segmentacija mreže može smanjiti sposobnost širenja ransomwarea na više uređaja.

Preporučene zaštitne navike uključuju:

• Redovito ažurirajte sav softver i uklonite nepodržane aplikacije
• Održavajte više sigurnosnih kopija, uključujući barem jednu izvanmrežnu kopiju
• Koristite snažne lozinke i omogućite višefaktorsku autentifikaciju

• Instalirajte pouzdanu zaštitu krajnjih točaka i zaštitni vatrozid

• Izbjegavajte piratski softver i neprovjerene preuzimanja

Završna procjena

Crni TENGU ransomware predstavlja opasnu modernu prijetnju koja kombinira enkripciju datoteka, iznuđivanje poruka i moguću krađu podataka. Korištenje preimenovanih datoteka s ekstenzijom '.TENGU' i namjenskom obavijesti o otkupnini pokazuje namjernu kampanju osmišljenu za brzo vršenje pritiska na žrtve. Najjača obrana je proaktivna sigurnost: zakrpani sustavi, oprezni korisnici, jaka autentifikacija, segmentirane mreže i pouzdane sigurnosne kopije. Organizacije i pojedinci koji se unaprijed pripreme daleko su otporniji kada ransomware napadne.