SWIFT Ransomware

Istraživači su otkrili novu prijetnju ransomwareom pod nazivom SWIFT Ransomware, koja predstavlja značajan rizik za sigurnost podataka žrtava. Ovaj prijeteći softver koristi robustan algoritam šifriranja, čineći široku lepezu datoteka potpuno nedostupnim. Naime, SWIFT Ransomware nadilazi puku enkripciju, jer aktivno mijenja nazive datoteka pogođenih datoteka, mijenja pozadinu radne površine na kompromitiranom sustavu i generira poruku o otkupnini pod nazivom '#SWIFT-Help.txt.'

Proces preimenovanja datoteke uključuje dodavanje adrese e-pošte 'swift_1@tutamail.com' i a. Ekstenzija 'SWIFT' izvornih naziva datoteka. Na primjer, datoteka izvorno nazvana '1.png' transformirala bi se u '1.png.[swift_1@tutamail.com].SWIFT,' a slično bi '2.pdf' postao '2.pdf.[swift_1@ tutamail.com].SWIFT' i tako dalje. Ova strategija služi za prepoznavanje datoteka koje su postale žrtve napada ransomwarea.

Daljnja istraga istraživača potvrdila je da je SWIFT Ransomware varijanta povezana s obitelji malwarea Proton .

SWIFT Ransomware iznuđuje svoje žrtve za novac

Poruka o otkupnini koju je izradio SWIFT Ransomware počinje predstavljanjem strašne situacije, objašnjavajući da su počinitelji upotrijebili napredne algoritme šifriranja, posebno AES i ECC, za šifriranje i krađu svih datoteka žrtve. Istaknuto je da korištenje ovih algoritama čini oporavak datoteka bez usluge dešifriranja koju nude napadači praktički nemogućim.

Nakon toga, bilješka ocrtava korake potrebne za oporavak, naglašavajući financijske motive napadača. Kibernetički kriminalci predlažu transakciju u kojoj žrtva može dobiti softver za dešifriranje i plaćanjem osigurati uništavanje podataka. Kako bi uspostavili vjerodostojnost, grupa predlaže slanje male, nevažne datoteke (manje od 1 MB) na dešifriranje kao demonstraciju svoje sposobnosti da ispune svoja obećanja.

Navedeni su kontakt podaci za komunikaciju, uključujući adresu e-pošte (swift_1@tutamail.com) i Telegram ID (@swift_support). Alternativna adresa e-pošte (swift@onionmail.com) nudi se u slučaju izostanka odgovora u roku od 24 sata. Žrtva dobiva upute da uključi svoj ID u predmet e-pošte u svrhu identifikacije.

Bilješka završava strogim upozorenjima protiv traženja pomoći od tvrtki za oporavak podataka, upozoravajući da takvi subjekti mogu iskoristiti situaciju za financijsku dobit. Nadalje, žrtvi se strogo savjetuje da ne odgađa plaćanje i upozorava se da ne briše ili mijenja šifrirane datoteke kako bi se izbjegle moguće komplikacije tijekom procesa dešifriranja.

Naglašava se da se plaćanje otkupnine strogo obeshrabruje, jer ne samo da produžava kriminalno ponašanje, već također ne jamči uspješan oporavak podataka. Žrtve se pozivaju da istraže alternativne metode za rješavanje napada ransomwarea koje ne uključuju popuštanje zahtjevima napadača.

Kako zaštititi svoje podatke i uređaje od prijetnji ransomwareom?

Kako bi zaštitili svoje podatke i uređaje od prijetnji ransomwarea, korisnici bi trebali usvojiti sveobuhvatan pristup kibernetičkoj sigurnosti. Evo pet osnovnih sigurnosnih mjera koje bi se trebale primijeniti na svim uređajima:

Redovite sigurnosne kopije : Osigurajte da se izvode redovite sigurnosne kopije kritičnih podataka. Sigurnosne kopije trebaju biti pohranjene u izoliranom okruženju, kao što je vanjski tvrdi disk ili sigurna usluga u oblaku.

Automatizirajte proces sigurnosne kopije kad god je to moguće kako biste smanjili vjerojatnost zaboravljanja sigurnosne kopije kritičnih informacija.

Ažurirani softver i sigurnosne zakrpe :

1. Održavajte softver operativnih sustava ažuriranim najnovijim sigurnosnim zakrpama.
2. Redovito instalirajte ažuriranja za rješavanje ranjivosti koje kibernetički kriminalci mogu iskoristiti.
3. Omogućite automatska ažuriranja kako biste osigurali brzu primjenu sigurnosnih zakrpa.

Koristite robusna rješenja protiv zlonamjernog softvera :

1. Instalirajte renomirani anti-malware softver na sve uređaje.
2. Provjerite je li sigurnosni softver redovito ažuriran kako bi otkrio i obranio se od novih prijetnji ransomwarea.
3. Izvršite redovita skeniranja kako biste identificirali i uklonili potencijalni zlonamjerni softver na uređaju.

Budite oprezni s korištenjem e-pošte i interneta : Budite oprezni s phishing e-porukama i nepoznatim privicima. Izbjegavajte klikanje na sumnjive poveznice ili preuzimanje datoteka iz neprovjerenih izvora.

Koristite alate za filtriranje e-pošte za otkrivanje i filtriranje potencijalno štetnih e-poruka. Informirajte sebe i svoj tim o znakovima pokušaja krađe identiteta.

Provedite edukaciju korisnika i podizanje svijesti : educirajte korisnike o rizicima povezanim s ransomwareom i važnosti higijene kibernetičke sigurnosti. Promovirajte praksu jakih lozinki, uključujući korištenje jedinstvenih lozinki i dvofaktorske provjere autentičnosti (2FA) gdje je to moguće.

Potaknite kulturu skepticizma, gdje korisnici provjeravaju legitimnost zahtjeva za osjetljivim informacijama ili neočekivanim preuzimanjima datoteka.

Uključivanjem ovih sigurnosnih mjera u svoje rutinske prakse, korisnici mogu značajno poboljšati svoju obranu od prijetnji ransomwarea. Višeslojni pristup koji kombinira redovite sigurnosne kopije, ažuriranja softvera, robusna sigurnosna rješenja, oprezno ponašanje na mreži i edukaciju korisnika može kolektivno stvoriti snažnu obranu od evoluirajućeg krajolika cyber prijetnji.

Poruka o otkupnini koju je poslao SWIFT Ransomware glasi:

'~ SWIFT ~

What happened?
We encrypted and stolen all of your files.
We use AES and ECC algorithms.
Nobody can recover your files without our decryption service.

How to recover?
We are not a politically motivated group and we want nothing more than money.
If you pay, we will provide you with decryption software and destroy the stolen data.

What guarantees?
You can send us an unimportant file less than 1 MG, We decrypt it as guarantee.
If we do not send you the decryption software or delete stolen data, no one will pay us in future so we will keep our promise.

How to contact us?
Our email address: swift_1@tutamail.com
Our Telegram ID: @swift_support
In case of no answer within 24 hours, contact to this email: swift@onionmail.com
Write your personal ID in the subject of the email.

>
Your personal ID: - <<<<< >

Warnings!

Do not go to recovery companies, they are just middlemen who will make money off you and cheat you.
They secretly negotiate with us, buy decryption software and will sell it to you many times more expensive or they will simply scam you.

Do not hesitate for a long time. The faster you pay, the lower the price.

Do not delete or modify encrypted files, it will lead to problems with decryption of files.'

Poruka koju šalje SWIFT Ransomware kao pozadinsku sliku radne površine je:

'!!! SWIFT !!!

We encrypted and stolen all of your files.
Our email address: swift_1@tutamail.com
In case of no answer within 24 hours, contact to this email: swift@onionmail.com
Your personal ID:'