Moneybird Ransomware
Iranska hakerska skupina Agrius, također poznata kao Pink Sand Storm i bivši Americium, nedavno je razvila novu vrstu ransomwarea pod nazivom Moneybird. Uočeno je da ovaj prijeteći zlonamjerni softver cilja posebno na izraelske organizacije, što označava značajnu promjenu u Agriusovoj taktici.
Sadržaj
Cyberkriminalci šire svoj prijeteći arsenal
Agrius ima povijest izvođenja destruktivnih napada brisanja podataka protiv izraelskih entiteta, često ih maskirajući kao incidente s ransomwareom. Pojava Moneybirda, kodiranog u C++, prikazuje rastuću stručnost grupe i stalnu predanost stvaranju novih cyber alata.
Aktivnosti skupine mogu se pratiti barem do prosinca 2020., kada je Agrius bio uključen u prekidanje pokušaja upada usmjerenih na industrije dijamanata u Južnoj Africi, Izraelu i Hong Kongu. Prethodno je Agrius koristio ransomware koji je postao brisač pod nazivom Apostle, temeljen na .NET okviru, i njegovog nasljednika pod nazivom Fantasy. Međutim, Moneybird predstavlja značajan napredak za grupu, budući da prikazuje svoje razvojne cyber sposobnosti kroz programski jezik C++.
Akteri prijetnje iskorištavaju sigurnosne ranjivosti kako bi dobili pristup
Metodologija napada koju koristi Moneybird Ransomware pokazuje visoku razinu sofisticiranosti, počevši od iskorištavanja ranjivosti prisutnih na internetskim web poslužiteljima. Ovo početno iskorištavanje napadačima daje ključnu ulaznu točku u mrežu ciljane organizacije, što je olakšano postavljanjem ASPXSpy web ljuske.
Jednom kada uđe u kompromitiranu mrežu, web ljuska služi kao komunikacijski kanal za napadače za izvođenje niza dobro poznatih alata posebno skrojenih za provođenje opsežnog izviđanja žrtvinog okruženja. Ovi alati omogućuju napadačima bočno kretanje unutar mreže, prikupljanje vrijednih vjerodajnica i eksfiltraciju osjetljivih podataka.
Moneybird Ransomware opremljen je naprednim mogućnostima šifriranja
Nakon početne infiltracije i faze izviđanja, Moneybird Ransomware se aktivira na kompromitiranom računalu. Ovaj ransomware dizajniran je s posebnim fokusom na šifriranje osjetljivih datoteka smještenih unutar mape "F:\User Shares". Nakon izvršenja, ransomware šalje poruku o otkupnini, stavljajući golem pritisak na žrtve da uspostave kontakt unutar vremenskog okvira od 24 sata, upozoravajući ih na potencijalno javno curenje njihovih ukradenih podataka.
Moneybird Ransomware koristi visoko sofisticiranu metodologiju šifriranja, koristeći AES-256 s GCM (Galois/Counter Mode). Ova napredna tehnika šifriranja generira jedinstvene ključeve šifriranja za svaku datoteku i dodaje šifrirane metapodatke na kraju. Precizno ciljanje i robusna enkripcija koju provodi Moneybird čine zadatak vraćanja podataka i dešifriranja datoteka iznimno zahtjevnim, ako ne i gotovo nemogućim, u većini slučajeva.
Važne sigurnosne mjere za zaustavljanje napada ransomwarea
Mogu se primijeniti učinkovite sigurnosne mjere za zaštitu uređaja i podataka od napada ransomwarea. Prvo, bitno je održavanje ažurnog i robusnog sigurnosnog softvera. Redovito ažuriranje anti-malware programa, zajedno s omogućavanjem automatskih ažuriranja, pomaže u zaštiti od najnovijih prijetnji.
Implementacija jakih i jedinstvenih zaporki za sve račune još je jedan ključni korak. To uključuje korištenje kombinacije slova, brojeva i simbola, kao i izbjegavanje uobičajenih i lako pogodljivih zaporki. Osim toga, omogućavanje provjere autentičnosti s više faktora dodaje dodatni sloj sigurnosti zahtijevajući dodatne korake verifikacije za pristup računima.
Redovito sigurnosno kopiranje relevantnih podataka ključno je za ublažavanje utjecaja napada ransomwarea. Stvaranje izvanmrežnih sigurnosnih kopija ili korištenje rješenja za pohranu u oblaku osigurava da se kritične datoteke mogu vratiti u slučaju enkripcije ili gubitka.
Bitno je biti oprezan dok pregledavate internet i komunicirate s e-poštom. Korisnici bi trebali biti sumnjičavi kada klikaju na sumnjive veze ili preuzimaju datoteke iz nepouzdanih izvora. Ključno je biti na oprezu i izbjegavati posjećivanje potencijalno štetnih web-mjesta ili korištenje sumnjivih e-poruka jer mogu sadržavati ransomware.
Educirati se i biti informiran o najnovijim prijetnjama kibernetičkoj sigurnosti i tehnikama napada vrlo je korisno. Prepoznavanje uobičajenih taktika društvenog inženjeringa koje se koriste u phishing napadima i svijest o znakovima potencijalne infekcije ransomwareom može pomoći korisnicima da poduzmu proaktivne mjere za sprječavanje i odgovor na takve napade.
Redovito ažuriranje operativnih sustava, aplikacija i firmvera još je jedan važan aspekt održavanja jake sigurnosti. Zakrpe i ažuriranja često uključuju sigurnosne popravke koji rješavaju ranjivosti koje bi mogli iskoristiti ransomware i drugi zlonamjerni softver.
Provodeći kombinaciju ovih sigurnosnih mjera, korisnici mogu poboljšati zaštitu svojih uređaja i podataka od razornog utjecaja napada ransomwarea.
