DeadLock ransomware

Moderne kampanje ransomwarea osmišljene su kako bi vaše osobne ili organizacijske podatke pretvorile u prednost. Nakon što se kritične datoteke šifriraju, napadači drže sve karte u rukama, osim ako se unaprijed ne pripremite. Snažna sigurnosna higijena, slojevita obrana i otporne strategije sigurnosnog kopiranja dramatično smanjuju vjerojatnost da će jedan zlonamjerni privitak, krekirani instalacijski program ili lažno preuzimanje dovesti do poremećaja u poslovanju ili trajnog gubitka podataka. DeadLock Ransomware dobar je primjer zašto su ovi temelji važni.

Što izdvaja DeadLock

DeadLock je obitelj ransomwarea za šifriranje datoteka koja svaku žrtvu označava jedinstvenim identifikatorom. Tijekom napada, šifrira korisničke podatke i preimenuje svaku šifriranu datoteku dodavanjem ID-a žrtve i ekstenzije '.dlock' izvornom nazivu datoteke. Na primjer: '1.png' postaje '1.png.F8C6A8.dlock', a '2.pdf' postaje '2.pdf.F8C6A8.dlock'. Ovaj se ID koristi tijekom cijelog procesa iznude za praćenje žrtve i povezivanje plaćanja s ključevima za dešifriranje. DeadLock također ostavlja poruku s otkupninom čiji naziv datoteke sadrži isti identifikator (npr. "READ ME.F8C6A8.txt") i mijenja pozadinu radne površine kako bi naglasio da je sustav kompromitiran.

U poruci o otkupnini

U bilješci se navodi nekoliko ključnih točaka osmišljenih kako bi se usmjerile sljedeće poteze žrtve. Tvrdi se da se šifrirane datoteke ne mogu vratiti bez 'jedinstvenog ključa za dešifriranje' koji posjeduju samo napadači. Žrtvama se govori da instaliraju Session Messenger usmjeren na privatnost i da ih kontaktiraju pomoću dobivenog Session ID-a (opet, mapiranje natrag na identifikator po žrtvi ugrađen u nazive datoteka). Napadači traže od žrtve da pošalje jednu šifriranu datoteku plus 'osobni ključ' (njihov jedinstveni ID) radi provjere. Ovo je uobičajena taktika namijenjena izgradnji povjerenja dešifriranjem bezopasnog uzorka.

Taktike plaćanja i pritiska

Operateri DeadLocka zahtijevaju kriptovalutu, točnije Bitcoin ili Monero. Obećavaju da će nakon plaćanja isporučiti funkcionalni dekriptor. Kao i kod većine ransomware operacija, ne postoji provedivo jamstvo. Napomena također koristi strah kako bi obeshrabrila neovisne pokušaje oporavka: upozorava žrtve da ne preimenuju šifrirane datoteke i da ne isprobavaju alate za dešifriranje trećih strana, tvrdeći da bi takve radnje mogle trajno oštetiti podatke ili povećati cijenu oporavka. Ova upozorenja su dijelom tehnička (nepravilno rukovanje doista može zakomplicirati oporavak), a dijelom psihološki pritisak.

Provjera stvarnosti dešifriranja

Iskustvo s ransomwareom općenito, kao i poruke samih operatera, podupiru gorku istinu: u većini slučajeva ne možete dešifrirati datoteke kodirane DeadLockom bez suradnje i alata napadača. To ostavlja dva realna puta oporavka: (1) funkcionalne sigurnosne kopije koje su bile izvan mreže, izvan lokacije, verzionirane ili na neki drugi način nisu bile dostupne zlonamjernom softveru u vrijeme napada; ili (2) plaćanje otkupnine i nada da će kriminalci poštovati dogovor. Plaćanje je rizično: napadači mogu nestati, isporučiti pokvareni dekriptor ili koristiti plaćanje kao signal da ste laka meta za buduću iznudu. Kad god je to moguće, oslonite se na nepromijenjene sigurnosne kopije umjesto da plaćate otkupninu.

Zašto je potpuno uklanjanje važno

Čak i nakon što je enkripcija završena, ostavljanje ransomwarea u sustavu je opasno. Preostale komponente mogu ponovno enkriptirati novokreirane datoteke, prikupiti vjerodajnice, otvoriti stražnja vrata ili pokušati se lateralno kretati po lokalnoj mreži. Iskorenjivanje, potkrijepljeno skeniranjem krajnjih točaka, pregledom memorije i pregledom planiranih zadataka, unosa pri pokretanju i kontrolera domene, ključno je za sprječavanje ponovne štete.

Uobičajeni vektori infekcije Deadlockom

Napadačima je potrebna početna osnova. Kampanje ransomwarea povezane su s više distribucijskih kanala koji iskorištavaju povjerenje korisnika, znatiželju i prečace za smanjenje troškova:

• Piratski ili 'crackirani' komercijalni softver, uključujući generatore ključeva i alate za zaobilaženje licenci koji potajno instaliraju zlonamjerni softver.
• Crack-ovi softvera, keygeni i neslužbeni aktivatori preuzeti s warez ili torrent stranica.
• Zlonamjerni privitci e-pošte: zarobljen Word dokument (često s omogućenim makroima), PDF-ovi, ZIP arhive, skriptne datoteke ili izvršni korisni programi prikriveni kao računi, obavijesti o otpremi ili hitni HR obrasci.
• Zlonamjerno oglašavanje (zlonamjerni oglasi) koji preusmjeravaju korisnike na zlonamjerne komplete ili lažne stranice za preuzimanje.
• Platforme za dijeljenje od strane korisnika do korisnika i centri za preuzimanje trećih strana koji prepakiraju instalacijske programe sa skrivenim korisnim sadržajem.
• Izmjenjivi mediji (npr. zaraženi USB pogoni) koji se automatski pokreću ili potiču korisnike na pokretanje zaraženih datoteka.
• Lažni portali za tehničku podršku koji vrše pritisak na korisnike da preuzmu 'popravke' ili 'ažuriranja' koja zapravo sadrže program za učitavanje ransomwarea.
• Kompromitirane legitimne web stranice koje su bile zasićene drive-by preuzimanjem ili ubrizganim skriptama koje isporučuju korisni sadržaj.

Najbolje sigurnosne prakse za jačanje vaše obrane

Slojevita sigurnost znatno smanjuje radijus eksplozije ransomware događaja. U nastavku su navedeni prioritetni obrambeni koraci koji pomažu u sprječavanju uspjeha DeadLocka i sličnih prijetnji:

• Održavajte pouzdane, izvanmrežne sigurnosne kopije kritičnih podataka.
• Pravovremeno ažurirajte zakrpe za operativne sustave, aplikacije i firmver, posebno za izložene servise i pakete produktivnosti sklone makroima ili zloupotrebama.
• Koristite pouzdanu zaštitu krajnjih točaka/EDR s detekcijom ransomwarea temeljenom na ponašanju i automatskom izolacijom.
• Provedite korisničke račune s najmanjim privilegijama; onemogućite lokalnu administratorsku licencu gdje nije potrebna; odvojite administratorske ovlasti od onih za svakodnevnu upotrebu.
• Ograničite izvršavanje makroa, interpretere skripti i nepotpisane binarne datoteke putem grupnih pravila, popisa dopuštenih aplikacija i kontroliranog pristupa mapama.
• Implementirajte filtriranje sigurnosti e-pošte: privitke u sigurnosnom okruženju, pregledajte poveznice i označite sumnjive vrste datoteka ili lažne domene pošiljatelja.
• Onemogućite automatsko pokretanje na prijenosnim medijima i skenirajte USB uređaje prije montiranja.
• Zahtijevajte višefaktorsku autentifikaciju (MFA) za udaljeni pristup, administratorske konzole i sučelja za upravljanje sigurnosnim kopijama.

Dugoročne lekcije

DeadLock pojačava temu koja se ponavlja u obiteljima ransomwarea: napadačima nisu potrebni vrhunski exploiti ako krajnji korisnici rutinski preuzimaju krekirane alate, otvaraju neprovjerene priloge ili pregledavaju nepouzdane oglasne mreže. Osnovne sigurnosne tehnike, disciplina pri postavljanju zakrpa, kontrole pristupa, nadzirane sigurnosne kopije i svijest korisnika pretvaraju potencijalnu krizu u događaj koji se može oporaviti. Investirajte u ove obrane odmah; cijena je daleko niža od otkupnine plaćene pod pritiskom.

Završne misli

Otpornost na ransomware gradi se mnogo prije nego što napad udari u vaš zaslon. Razumijevanjem načina rada DeadLocka i implementacijom slojevitih preventivnih i oporavljivih kontrola, pozicionirate se da se oduprete ovoj i sličnim prijetnjama. Ostanite skeptični prema svemu što niste namjerno tražili ili provjerili. Vaša budnost je prva, i često najbolja, linija obrane.