Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Ransomware BARADAI Ransomware

BARADAI Ransomware

Autorius Mezo, Ransomware
Versti į:

Šiuolaikinės išpirkos reikalaujančių programų operacijos nuolat tobulėja, todėl aktyvios kibernetinio saugumo praktikos tampa svarbesnės nei bet kada anksčiau. Organizacijos ir individualūs vartotojai nuolat susiduria su kenkėjiškų veikėjų, siekiančių užšifruoti jautrius duomenis, sutrikdyti veiklą ir finansiškai išgauti aukas, keliama rizika. Vienas ypač pavojingas pavyzdys yra „BARADAI Ransomware“ – kenkėjiškos programos atmaina, susijusi su liūdnai pagarsėjusia „MedusaLocker“ išpirkos reikalaujančių programų šeima. Ši grėsmė derina pažangų šifravimą su duomenų vagystės taktika, sukeldama rimtų veiklos, finansinių ir reputacijos pasekmių paveiktoms organizacijoms.

BARADAI išpirkos reikalaujančios programinės įrangos operacijos viduje

BARADAI yra skirtas infiltruotis į sistemas, užšifruoti vertingus failus ir daryti spaudimą aukoms sumokėti išpirką. Paleidus išpirkos reikalaujančią programą pažeistame kompiuteryje, ji pradeda šifruoti failus ir prie paveiktų failų pavadinimų prideda plėtinį „.BARADAI“. Pavyzdžiui, failas pavadinimu „document.pdf“ tampa „document.pdf.BARADAI“, todėl vartotojai, neturintys tinkamo iššifravimo rakto, negali jo pasiekti.

Užbaigus šifravimo procesą, kenkėjiška programa sugeneruoja HTML išpirkos raštelį pavadinimu „read_to_decrypt_files.html“. Šiame pranešime aukos informuojamos, kad jų įmonės tinklas tariamai buvo „pažeistas ir užšifruotas“ naudojant RSA-4096 ir AES-256 kriptografinius algoritmus. Šie šifravimo standartai laikomi labai saugiais ir praktiškai neįmanoma jų nulaužti naudojant „brute-force“ metodus.

Išpirkos reikalaujančiame rašte aukos taip pat įspėjamos nenaudoti trečiųjų šalių atkūrimo programinės įrangos ar modifikuoti užšifruotus failus, teigiant, kad tokie veiksmai gali negrįžtamai sugadinti duomenis. Nors šie įspėjimai pirmiausia skirti įbauginti aukas, netinkami atkūrimo bandymai kai kuriais atvejais gali apsunkinti atkūrimo pastangas.

Dvigubo išpirkos išpirkimo taktika padidina spaudimą

„BARADAI“ laikosi vis labiau paplitusios „dvigubo išpirkos reikalaujančių programų grupių“ strategijos. Užpuolikai ne tik šifruoja failus, bet ir tvirtina, kad prieš dislokuodami išpirkos reikalaujančią programinę įrangą vagia neskelbtiną informaciją iš pažeistų tinklų. Išpirkos reikalavimo rašte teigiama, kad pavogti duomenys gali apimti konfidencialius verslo dokumentus, finansinius įrašus ir asmeninę informaciją.

Aukos grasinamos viešu šios informacijos paviešinimu per žiniasklaidos priemones arba duomenų tarpininkus, jei mokėjimo reikalavimai bus ignoruojami. Ši taktika žymiai padidina spaudimą organizacijoms, ypač toms, kurios tvarko slaptą klientų informaciją, reguliuojamus duomenis arba patentuotą intelektinę nuosavybę.

Siekdami sustiprinti savo patikimumą, užpuolikai siūlo nemokamai iššifruoti kelis nebūtinus failus. Ši demonstracija skirta įrodyti, kad iššifravimas techniškai įmanomas sumokėjus išpirką. Pranešime nurodyti komunikacijos kanalai apima el. pašto adresus, „Tor“ pagrindu veikiančius portalus ir „qTox“ pranešimų ID. Aukos taip pat raginamos naudoti „ProtonMail“ „saugiam“ bendravimui, o 72 valandų terminas bando sukurti skubumą įspėjant, kad po nurodyto laikotarpio išpirkos reikalavimai padidės.

Kodėl BARADAI yra ypač pavojingas

BARADAI kelia didelę grėsmę, nes priklauso „MedusaLocker“ išpirkos reikalaujančių programų šeimai – grupei, žinomai dėl to, kad jos taikosi į verslą ir įmonių aplinką, o ne į paprastus namų vartotojus. Šios operacijos dažnai kruopščiai planuojamos ir vykdomos po to, kai užpuolikai gauna gilią prieigą prie įmonės tinklo.

Išpirkos reikalaujanti programa dažniausiai plinta per pažeistas nuotolinio darbalaukio protokolo (RDP) paslaugas. Užpuolikai ieško prie interneto prijungtų RDP galinių taškų, apsaugotų silpnais arba pakartotinai naudojamais prisijungimo duomenimis, o tada naudoja „brute-force“ atakas, kad gautų neteisėtą prieigą. Patekę į vidų, jie juda horizontaliai tinkle, užgrobia papildomas sistemas, išjungia apsaugą ir vienu metu diegia išpirkos reikalaujančią programinę įrangą keliuose kompiuteriuose.

Sukčiavimo apsimetant kampanijos taip pat išlieka pagrindiniu užkrato vektoriumi. Darbuotojai gali nesąmoningai atidaryti kenkėjiškus priedus, užmaskuotus kaip sąskaitos faktūros, ataskaitos ar verslo pranešimai. Šiuose failuose dažnai būna kenkėjiškų makrokomandų, įterptųjų scenarijų arba nuorodų, vedančių į kenkėjiškų programų atsisiuntimus. Suspausti archyvai, tokie kaip ZIP arba RAR failai, dažnai naudojami norint apeiti pagrindines el. pašto filtravimo apsaugas.

Papildomi užkrėtimo būdai apima Trojos arklius, piratinę programinę įrangą, nelegalias aktyvinimo priemones, netikrus programinės įrangos atnaujinimus ir nepatikimas atsisiuntimo platformas. Prastai segmentuotuose tinkluose vienas užkrėstas galinis taškas gali greitai sukelti platų užkrėtimą visoje organizacijoje.

Šifravimo ir atkūrimo iššūkiai

Atkurti BARADAI užšifruotus failus be užpuoliko bendradarbiavimo paprastai yra nerealu. Išpirkos reikalaujanti programa naudoja stiprius kriptografinius mechanizmus, kurių neįmanoma apeiti neturint prieigos prie užpuolikų valdomo privataus iššifravimo rakto. Jei pačioje kenkėjiškoje programoje nėra rimto įgyvendinimo trūkumo, nemokamos iššifravimo galimybės yra mažai tikėtinos.

Kibernetinio saugumo specialistai griežtai nerekomenduoja mokėti išpirkos. Grėsmių vykdytojai dažnai nesugeba pateikti veikiančių iššifravimo įrankių net ir gavę mokėjimą. Kai kuriais atvejais aukos tampa pakartotiniais taikiniais, nes užpuolikai jas identifikuoja kaip organizacijas, norinčias vykdyti turto prievartavimo reikalavimus.

Nors išpirkos reikalaujančios programinės įrangos pašalinimas iš užkrėstų sistemų yra būtinas siekiant užkirsti kelią tolesnei šifravimo veiklai, vien kenkėjiškų programų pašalinimas neatkuria jau užrakintų failų. Patikimiausia atkūrimo strategija išlieka švarių atsarginių kopijų, saugomų neprisijungus prie interneto arba tinkamai apsaugotoje nuotolinėje infrastruktūroje, izoliuotoje nuo pagrindinio tinklo, naudojimas.

Apsaugos nuo BARADAI ir panašių grėsmių stiprinimas

Organizacijos gali gerokai sumažinti išpirkos reikalaujančių programų atakų riziką įdiegdamos daugiasluoksnes saugumo kontrolės priemones ir palaikydamos drausmingą kibernetinio saugumo praktiką. Veiksmingai gynybai reikalingos tiek techninės apsaugos priemonės, tiek darbuotojų informuotumas.

Pagrindinės apsaugos priemonės apima:

  • Stiprių slaptažodžių politikos ir daugiafaktorinio autentifikavimo vykdymas, ypač RDP ir kitoms nuotolinės prieigos paslaugoms.
  • Kai tik įmanoma, apriboti arba išjungti atvirą RDP prieigą.
  • Reguliariai kurkite neprisijungus ir debesijos pagrindu veikiančias atsargines kopijas, kurios yra izoliuotos nuo gamybos sistemų.
  • Nedelsiant diegti saugumo pataisas operacinėse sistemose, programose ir tinklo įrenginiuose.
  • Naudojant patikimus galinių taškų apsaugos ir tinklo stebėjimo sprendimus, galinčius aptikti įtartiną elgesį.
  • Tinklų segmentavimas siekiant apriboti šoninį judėjimą kompromiso metu.
  • Mokyti darbuotojus atpažinti sukčiavimo el. laiškus, kenkėjiškus priedus ir socialinės inžinerijos taktiką.

Be šių priemonių, organizacijos turėtų priimti aktyvią incidentų reagavimo strategiją. Nuolatinis stebėjimas, grėsmių paieška, pažeidžiamumų vertinimai ir įsiskverbimo testavimas gali padėti nustatyti silpnąsias vietas prieš užpuolikams jas išnaudojant. Incidentų reagavimo plano parengimas ir repetavimas taip pat leidžia saugumo komandoms efektyviau reaguoti išpirkos reikalaujančios programinės įrangos atakos metu, sumažinant veiklos sutrikimus ir duomenų praradimą.

Augantis grėsmių kraštovaizdis

BARADAI demonstruoja, kaip išpirkos reikalaujančios programinės įrangos operacijos išsivystė į organizuotas ir itin trikdančias kibernetinių nusikaltimų įmones. Derindami stiprų šifravimą, duomenų vagystes, psichologinį spaudimą ir kelis užkrato vektorius, užpuolikai maksimaliai padidina finansinės naudos tikimybę ir tuo pačiu padaro didelę žalą aukoms.

Išpirkos reikalaujančių programų grupuotėms toliau tobulinant savo taktiką, patikimos kibernetinės higienos palaikymas tampa būtinas įvairaus dydžio organizacijoms. Prevencinės saugumo priemonės, darbuotojų švietimas, patikimos atsarginės kopijos ir greito reagavimo į incidentus galimybės išlieka stipriausiomis apsaugos nuo tokių grėsmių kaip BARADAI ir platesnės „MedusaLocker“ išpirkos reikalaujančių programų ekosistemos priemonėmis.

System Messages

The following system messages may be associated with BARADAI Ransomware:

NETWORK SECURITY NOTIFICATION
YOUR PERSONAL ID: -
YOUR CORPORATE NETWORK HAS BEEN
COMPROMISED & ENCRYPTED
Your files are secured with military-grade encryption (RSA-4096 + AES-256)
WARNING: ANY ATTEMPT TO RESTORE FILES WITH THIRD-PARTY SOFTWARE WILL CAUSE PERMANENT DATA CORRUPTION. DO NOT MODIFY OR RENAME ENCRYPTED FILES.

We have successfully infiltrated your network and encrypted critical data. All compromised information including confidential documents, financial records, and personal data is securely stored on our private servers. This server will be permanently destroyed upon confirmation of your payment. Failure to comply will result in public release of all data to media outlets and data brokers.

We operate purely for financial gain, not to damage your operations. To verify our capability, we offer free decryption of 2–3 non-critical files as proof of our solution.

Contact us immediately for pricing and decryption software
EMAIL:
recovery1@salamati.vip
recovery1@amniyat.xyz

For secure communication, create a new account at: hxxps://protonmail[.]com

CONTACT US WITHIN 72 HOURS TO PREVENT PRICE INCREASE
TOR CHAT (24/7 SUPPORT):
hxxp://qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd[.]onion
qTox ID: -

hxxp://t33zoj4qwv455fog7qnb2azi5xcdxkixughmmduzbw2rtdgryqfbh6id[.]onion

Tendencijos

Labiausiai žiūrima

Įkeliama...