AntiHacker zsarolóvírusok

A személyes és üzleti adatok modern rosszindulatú fenyegetésekkel szembeni védelme már nem opcionális, hanem működési szükségszerűség. A zsarolóvírus-üzemeltetők folyamatosan finomítják taktikáikat, eszközeiket és társadalmi manipulációs módszereiket, hogy maximalizálják a zavarokat és zsarolják a pénzösszegeket. Még a kisebb szervezeteket és az otthoni felhasználókat is rendszeresen célba veszik, és a helyreállítás nehéz vagy lehetetlen lehet felkészülés nélkül. Az AntiHacker zsarolóvírus, a Xorist család tagja, pontosan ilyen fenyegetést jelent.

FENYEGETÉS ÁTTEKINTÉSE ÉS SZÁRMAZÁSA

Az AntiHacker egy kártékony program, amelyet információbiztonsági kutatók fedeztek fel, és a Xorist zsarolóvírus-családba soroltak. A Xorist alapú fenyegetések jellemzően egy olyan keretrendszerből épülnek fel, amelyet a támadók testreszabhatnak, megváltoztatva a megjelenített váltságdíjüzenetet, a fájlkiterjesztést, a nyelvi elemeket és egyéb paramétereket. Az AntiHacker a jól ismert Xorist-stratégiát követi: titkosítja az áldozat adatait, majd fizetséget követel egy állítólagos visszafejtési kulcsért cserébe.

FÁJLTITKOSÍTÁSI VISELKEDÉS ÉS JELÖLÉS

Miután az AntiHacker feltör egy rendszert, felhasználók által hozzáférhető adatokat keres a helyi meghajtókon és a potenciálisan leképezett hálózati helyeken is. A támadás számos fájltípust céloz meg: dokumentumokat, képeket, archívumokat, multimédiás fájlokat és más értékes adattárolókat. Minden titkosított elem átnevezése az eredeti fájlnév végéhez hozzáfűzött '.antihacker2017' karakterlánccal történik. Például egy eredetileg '1.png' nevű fájl '1.png.antihacker2017' névre változik; a '2.pdf' névből '2.pdf.antihacker2017' lesz; és ez a minta az összes feldolgozott fájlban megismétlődik. A hozzáadott kiterjesztés két célt szolgál: vizuálisan jelzi az áldozatnak a feltörést, és segít a zsarolóvírusnak azonosítani, hogy mely elemeket kezelte már.

VÁLSÁGKÖTELEZŐ ÜZENETEK, FELÚGÓ ABLAKOK ÉS HÁTTÉRKÉP ÜZENETEK

A titkosítási rutin befejezése után az AntiHacker módosítja az áldozat asztali háttérképét, és két párhuzamos formátumban küld váltságdíjat követelő üzenetet: egy felugró ablakban és egy „КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt” (oroszul „HOGYAN FEJEZZÜNK FÁJLOKAT”) nevű szöveges fájlban. Az felugró ablakban és a szöveges fájlban megjelenített üzenet tartalma megegyezik. A háttérképváltozat azonban további, a társadalomra gyakorolt hatást kiváltó szöveget is tartalmaz, amely állítólag azt az indoklást jelenti, hogy a támadás azért történt, mert a felhasználó felnőtteknek szóló vagy illegális weboldalakat látogatott meg. Ez a megszégyenítő megközelítés arra szolgál, hogy az áldozatokat gyorsan és csendben fizessenek.

KARAKTERKÓDOLÁSI FURCSA

A cirill karakterkészletet nem használó rendszereken a felugró ablakban megjelenő váltságdíjat követelő szöveg olvashatatlan zagyvaságnak tűnhet. Az áldozatok ezért egy sérült üzenetablakot láthatnak, de az olvasható utasításokat továbbra is megtalálhatják a beágyazott szövegfájlban. A támadók gyakran figyelmen kívül hagyják a lokalizációs részleteket; a védők ezeket a hibákat felhasználhatják a kapcsolódó incidensek csoportosításához.

KÉNYSZERÍTÉSI MECHANIKA: FŐBB BELÉPÉSI KORLÁTOK ÉS FENYEGETÉSRE VONATKOZÓ ÁLLÍTÁSOK

A váltságdíjra vonatkozó utasítások kimondják, hogy az áldozatoknak fel kell venniük a kapcsolatot a támadókkal a visszafejtési kulcs megszerzéséhez. Emellett egy nagyfokú stresszt is előírnak: a kulcs megadására csak 50 alkalommal lehet próbálkozni, ezt követően az üzenet azt állítja, hogy a titkosított adatok véglegesen elvesznek. További figyelmeztetések szerint a biztonsági eszközök használata, az újraindítás vagy a gép leállítása visszafejthetetlenné teszi a fájlokat. Ezek az ijesztő taktikák gyakoriak a zsarolóvírusok kézikönyveiben, és célja, hogy elriasszák a felhasználókat attól, hogy szakmai segítséget kérjenek, vagy biztonságos elhárítási eljárásokat próbáljanak megkísérelni.

MIÉRT KOCKÁZATOS A VÁLSÁGDÍJ FIZETÉSE?

Nincs garancia arra, hogy az AntiHacker (vagy bármely zsarolóvírus) mögött álló kiberbűnözők a fizetést követően működő visszafejtési megoldást biztosítanak. Az áldozatok, akik fizetnek, gyakran semmit sem kapnak, feltört kulcsot kapnak, vagy ismételt zsarolás célpontjaivá válnak. A fizetés a folyamatban lévő bűnözői műveleteket is finanszírozza, és további támadásokra ösztönöz. Az óvatosság az, hogy amikor csak lehetséges, kerüljük a fizetést, és a saját ellenőrzésünk alatt álló helyreállítási útvonalakra koncentráljunk.

A FELVÉTEL VALÓSÁGA

Az AntiHacker eltávolítása egy fertőzött rendszerről leállíthatja a további fájltitkosítást, de nem fejti vissza a már zárolt adatokat. A helyreállítás legmegbízhatóbb módja az érintett fájlok tiszta másolatainak visszaállítása az izolált, offline vagy a kártevő által elérhetetlen biztonsági mentésekből. Ha nincsenek működőképes biztonsági mentések, az adat-helyreállítási lehetőségek erősen korlátozottá válnak.

ELSŐDLEGES FERTŐZÉSVEKTOROK

A zsarolóvírusok készítői ugyanarra a széles körű terjesztési ökoszisztémára támaszkodnak, mint más rosszindulatú programok kategóriái. Az AntiHacker sem kivétel. A támadók gyakran álcázzák a hasznos fájlokat legitim szoftverként, vagy csomagolják azokat feltört vagy kalózprogramokkal, dokumentumokkal vagy telepítőkkel. Már egy csapdával teli fájl megnyitása is elindíthat egy letöltési vagy végrehajtási láncolatot.

• Adathalászat és pszichológiai manipuláció célpontjai e-mailben, privát üzenetekben vagy rosszindulatú mellékleteket vagy beágyazott linkeket tartalmazó közvetlen üzenetekben.
• Feltört vagy rosszindulatú webhelyekről indított, egyértelmű felhasználó beleegyezés nélküli, véletlenszerű vagy megtévesztő letöltések.
• Trójai betöltők és hátsó ajtók, amelyek beágyazódás után csendben letöltik és elindítják a zsarolóvírusokat.
• Megbízhatatlan letöltési források, például ingyenes szoftvereket kínáló webhelyek, harmadik féltől származó tárhelyoldalak és peer-to-peer (P2P) fájlmegosztó hálózatok.
• Online csalások és rosszindulatú hirdetési kampányok, amelyek a felhasználókat exploit kitek vagy rosszindulatú fájlok felé irányítják.
• Illegális szoftveraktiváló eszközök („crackek” / keygen-ek) és hamis szoftverfrissítések, amelyek rosszindulatú programokat telepítenek legitim javítások helyett.
• Archívumok (ZIP, RAR stb.), futtatható fájlok (EXE, RUN stb.), szkriptfájlok (pl. JavaScript) és dokumentumformátumok (PDF, Microsoft Office, OneNote és mások) fegyverként szolgálnak a fertőzési lánc elindításához.

VÉDEKEZÉSI STRATÉGIA ÁTTEKINTÉSE

A zsarolóvírusok elleni hatékony védelem embereket, folyamatokat és technológiát foglal magában. Nem lehet egyetlen védelmi kontrollra hagyatkozni; feltételezzük, hogy legalább az egyik réteg meghibásodik. Kombinálja a felhasználói tudatosságot, a megerősített konfigurációkat, a szigorú javításokat, a robusztus biztonsági mentési gyakorlatokat és az erős észlelési/válaszadási képességeket az AntiHacker-stílusú behatolások valószínűségének és hatásának csökkentése érdekében.

• Készítsen biztonsági másolatot a fontos adatokról.
• Tartsa naprakészen az operációs rendszereket, az alkalmazásokat és a biztonsági eszközöket; telepítse a javításokat azonnal, különösen a távoli hozzáférés és a fájlmegosztási szolgáltatások esetében.
• Használjon megbízható kártevőirtó / végpontészlelési és -válaszadási (EDR) megoldásokat, amelyek viselkedésalapú zsarolóvírus-észleléssel és automatikus visszagörgetési funkciókkal is rendelkeznek, ahol támogatott.
• A legalacsonyabb jogosultságú felhasználói jogok érvényesítése; a napi feladatok nem rendszergazdai fiókokkal történő végrehajtása, és az írási hozzáférés korlátozása a megosztott adattárakhoz.
• Szegmentálja a hálózatokat és korlátozza az oldalirányú mozgást; külön hozzáférési szinteken izolálja a biztonsági mentési adattárakat és a kritikus szervereket.
• Többtényezős hitelesítés (MFA) megkövetelése távoli bejelentkezésekhez, privilegizált műveletekhez és biztonsági mentés-felügyeleti konzolokhoz.

KÖVETKEZTETÉS

Az AntiHacker zsarolóvírusok jól mutatják, hogyan adaptálják a kiberbiztonsági családokat, mint például a Xorist, hogy hatékony, regionálisan célzott zsarolási rendszereket hozzanak létre. Adattitkosítása, fájlnév-címkézése, többnyelvű váltságdíj-követelményei és kényszerítő üzenetküldése mind a fizetések ösztönzésére szolgálnak. A legerősebb ellenintézkedés azonban továbbra is a felkészülés: elszigetelt biztonsági mentések, többszintű védelem, tájékozott felhasználók és fegyelmezett reagálási terv. Azok a szervezetek és magánszemélyek, akik ezekbe a védelmi intézkedésekbe fektetnek be, egy potenciálisan katasztrofális zsarolóvírus-eseményt helyrehozható incidenssé alakíthatnak.