„Hommy“ išpirkos reikalaujanti programa

Kenkėjiška programa ir toliau išlieka viena didžiausių kibernetinio saugumo grėsmių, su kuria susiduria organizacijos ir asmenys. Šiuolaikinės kenkėjiškos programos yra sukurtos ne tik sutrikdyti veiklą, bet ir vogti neskelbtiną informaciją, išvilioti aukas ir sukelti didelių finansinių nuostolių. Išpirkos reikalaujanti programinė įranga, ypač, išsivystė į labai pelningą nusikalstamą veiklą, todėl prevencinės saugumo priemonės yra būtinos siekiant apsaugoti vertingus duomenis ir palaikyti verslo tęstinumą. Tarp naujausių kibernetinio saugumo tyrėjų nustatytų grėsmių yra „Hommy“ išpirkos reikalaujanti programa – pavojinga failus šifruojanti kenkėjiškos programos atmaina, susijusi su „Makop“ išpirkos reikalaujančių programų šeima.

„Hommy“ išpirkos reikalaujančios programinės įrangos apžvalga

„Hommy“ yra išpirkos reikalaujanti programa, kuri šifruoja failus pažeistose sistemose ir reikalauja iš aukų sumokėti už tariamą iššifravimo sprendimą. Saugumo tyrėjai ją nustatė kaip „Makop“ išpirkos reikalaujančių programų šeimos narį – grupę, žinomą dėl to, kad taikosi į organizacijas ir naudoja dvigubo turto prievartavimo taktiką, kurioje duomenų šifravimas derinamas su viešųjų duomenų atskleidimo grėsmėmis.

Paleidus „Hommy“ aukos sistemoje, ji ieško ir užšifruoja daugybę failų tipų, todėl jie tampa nepasiekiami. Be failų užrakinimo, išpirkos reikalaujanti programa modifikuoja jų failų pavadinimus, pridėdama unikalų aukos identifikatorių, užpuolikų kontaktinį el. pašto adresą ir plėtinį „.hommy“. Pavyzdžiui, iš pradžių pasiekiamas failas gali būti pakeistas į tokį failo pavadinimą kaip „document.docx.[2AF20FA3].[privatehommy@outlook.com].hommy“. Šis pervadinimo modelis yra ir užkrato žymuo, ir būdas užpuolikams susieti užšifruotus failus su konkrečia auka.

Be failų šifravimo, Hommy pateikia išpirkos raštelį pavadinimu „+README-WARNING+.txt“ ir pakeičia darbalaukio foną, kad aukos nedelsdamos sužinotų apie ataką.

Išpirkos reikalavimo supratimas

„Hommy“ pateiktas išpirkos raštelis yra glaustas, tačiau bauginantis. Aukos informuojamos, kad jų failai buvo užšifruoti ir kad duomenys tariamai buvo pavogti iš paveiktos aplinkos. Užpuolikai teigia, kad sumokėti reikia ne tik norint atgauti prieigą prie užšifruotų failų, bet ir siekiant užkirsti kelią pavogtos informacijos paskelbimui.

Aukos raginamos susisiekti su kenkėjais el. pašto adresu „privatehommy@outlook.com“ ir visuose susirašinėjimuose nurodyti jiems priskirtą aukos ID. Pažymėtina, kad raštelyje nenurodoma išpirkos suma, mokėjimo būdas ar joks terminas. Tokia informacija paprastai atskleidžiama tik užmezgus tiesioginį kontaktą su užpuolikais.

Papildomą susirūpinimą kelia tai, kad nėra jokių įrodymų, jog užpuolikai turi veikiančią iššifravimo galimybę. Kitaip nei kai kurios išpirkos reikalaujančios programos, kurios siūlo iššifruoti nedidelį pavyzdinį failą kaip įrodymą, „Hommy“ operatoriai savo rašte tokio patvirtinimo nepateikia.

Failų šifravimo ir duomenų išgavimo taktika

„Hommy“ naudojama atakos metodika atspindi platesnes tendencijas, pastebėtas išpirkos reikalaujančių programų aplinkoje. Užuot vien pasiremusi failų šifravimu, ši grėsmė į savo išpirkos reikalavimo strategiją įtraukia duomenų vagystę. Toks požiūris žymiai padidina spaudimą aukoms, ypač įmonėms, kurios tvarko slaptą klientų informaciją, intelektinę nuosavybę ar konfidencialius įmonių įrašus.

Šifravimo ir duomenų vagystės derinys sukuria sudėtingą situaciją paveiktoms organizacijoms. Net jei yra atsarginės kopijos ir galima atkurti operacinį duomenų atkūrimą, neskelbtinos informacijos atskleidimo rizika gali sukelti teisinių, finansinių ir reputacijos pasekmių.

Kaip ir daugelis išpirkos reikalaujančių programų šeimų, „Hommy“ naudoja stiprius šifravimo mechanizmus, kurie paprastai neleidžia aukoms atkurti failų neturint prieigos prie užpuolikų iššifravimo įrankių. Atkūrimas be grėsmės kūrėjų įsikišimo paprastai įmanomas tik tada, kai tyrėjai aptinka kritinių išpirkos reikalaujančios programos įgyvendinimo trūkumų, o tai nėra įprasta.

Kaip plinta „Hommy“ išpirkos reikalaujanti programa

„Hommy“ daugiausia siejamas su atakomis prieš prastai apsaugotas nuotolines paslaugas. Grėsmių kūrėjai dažnai taikosi į prie interneto prijungtas sistemas, kurios naudoja silpnus prisijungimo duomenis arba neturi tinkamų saugumo kontrolės priemonių. Nuotolinio darbalaukio protokolo (RDP) paslaugos yra ypač patrauklūs taikiniai, nes užpuolikai gali bandyti vykdyti „brute-force“ atakas, kad gautų neteisėtą prieigą prie įmonių tinklų.

Gavę prieigą, užpuolikai gali rankiniu būdu dislokuoti išpirkos reikalaujančią programinę įrangą visoje aplinkoje, taip padidindami žalą ir sėkmingo turto prievartavimo tikimybę.

Kiti infekcijos vektoriai, dažniausiai siejami su „Hommy“ ir susijusiais „Makop“ išpirkos reikalaujančiais virusais, yra šie:

• Sukčiavimo el. laiškai su kenkėjiškais priedais arba nuorodomis
• Trojos arklys, kuris atsisiunčia ir įdiegia papildomus paketus
• Netikri programinės įrangos atnaujinimai, skirti apgauti vartotojus, kad jie paleistų kenkėjišką kodą
• Piratinės programinės įrangos paketai ir nulaužtos programos, gautos iš nepatikimų šaltinių
• Kenkėjiški dokumentai, scenarijai, vykdomieji failai ir suspausti archyvai, pvz., ZIP arba RAR failai

Šie failai gali atrodyti nekenksmingi, tačiau užkrėtimo procesas gali prasidėti iškart po atidarymo ar vykdymo.

Kodėl išpirkos mokėjimas yra rizikingas sprendimas

Kibernetinio saugumo specialistai griežtai nerekomenduoja mokėti išpirkos. Nėra jokios garantijos, kad kenkėjiškų programų kūrėjai, gavę mokėjimą, pateiks veikiantį iššifravimo įrankį. Daugybė išpirkos reikalaujančių programų aukų pranešė apie atvejus, kai nusikaltėliai dingo po mokėjimo arba pateikė neveiksmingas atkūrimo priemones.

Be to, išpirkos mokėjimas tiesiogiai remia nusikalstamas operacijas ir prisideda prie nuolatinio išpirkos reikalaujančių programų kampanijų augimo. Organizacijos, kurios nusprendžia derėtis su užpuolikais, taip pat gali tapti patraukliais būsimais taikiniais, jei nusikaltėliai mano, kad jos nori mokėti.

Užuot finansavusios kibernetinius nusikaltėlius, nukentėjusios organizacijos turėtų sutelkti dėmesį į incidentų reagavimo procedūras, teismo ekspertizę, izoliavimo pastangas ir duomenų atkūrimą iš švarių atsarginių kopijų, kai tik įmanoma.

Atgavimo ir pašalinimo aspektai

„Hommy“ išpirkos reikalaujančios programinės įrangos pašalinimas iš užkrėsto įrenginio yra būtinas siekiant užkirsti kelią tolesnei šifravimo veiklai ir tolesniam įsilaužimui. Tačiau vien kenkėjiškos programos pašalinimas neatkuria jau užšifruotų failų.

Patikimiausias atkūrimo metodas išlieka duomenų atkūrimas iš atsarginių kopijų, sukurtų prieš įvykstant atakai. Veiksmingos atsarginės kopijos turėtų būti saugomos atskirai nuo gamybos sistemų, pavyzdžiui, neprisijungusiuose saugojimo įrenginiuose arba saugiuose nuotoliniuose atsarginių kopijų serveriuose, prie kurių išpirkos reikalaujanti programinė įranga negali lengvai prisijungti.

Organizacijos, neturinčios tinkamų atsarginių kopijų, gali susidurti su dideliais iššūkiais bandydamos atkurti užšifruotus duomenis. Tokiais atvejais reikėtų pasikonsultuoti su incidentų reagavimo specialistais, kad jie įvertintų galimas atkūrimo galimybes ir nustatytų pažeidimo mastą.

Apsaugos nuo išpirkos reikalaujančių programų stiprinimas

Norint užkirsti kelią išpirkos reikalaujančių programų infekcijoms, reikia daugiasluoksnės saugumo strategijos, kuri apjungtų technines apsaugos priemones su naudotojų informuotumu. Organizacijos turėtų teikti pirmenybę nuotolinės prieigos paslaugų apsaugai, vykdydamos stiprių slaptažodžių politiką, įdiegdamos daugiafaktorinį autentifikavimą ir ribodamos valdymo sąsajų prieigą prie viešojo interneto.

Reguliarūs programinės įrangos atnaujinimai yra ne mažiau svarbūs, nes užpuolikai dažnai išnaudoja žinomas pasenusių operacinių sistemų ir programų pažeidžiamumus. Išsamūs galinių taškų apsaugos sprendimai, tinklo stebėjimo įrankiai ir įsilaužimų aptikimo sistemos gali padėti nustatyti kenkėjišką veiklą, kol ji neperauga į plataus masto išpirkos reikalaujančios programinės įrangos incidentą.

Lygiai taip pat svarbu palaikyti patikimą atsarginių kopijų kūrimo strategiją. Atsarginės kopijos turėtų būti kuriamos reguliariai, tikrinamas jų vientisumas ir saugomos nuo pagrindinių sistemų izoliuotose vietose. Neturint patikimų atsarginių kopijų, po atakos atkūrimo galimybės tampa gerokai ribotos.

Saugumo sąmoningumo mokymai taip pat atlieka gyvybiškai svarbų vaidmenį. Darbuotojai turėtų būti mokomi atpažinti sukčiavimo bandymus, įtartinus priedus, netikėtus atsisiuntimo prašymus ir kitas socialinės inžinerijos taktikas, kurias dažniausiai naudoja kibernetiniai nusikaltėliai. Kadangi daugelis išpirkos reikalaujančių programų infekcijų prasideda nuo vartotojo sąveikos, informuoti darbuotojai gali būti veiksminga pirmoji gynybos linija.

Galutinis vertinimas

„Hommy“ išpirkos reikalaujanti programa kelia rimtą kibernetinio saugumo grėsmę, kuriai būdingas „Makop“ išpirkos reikalaujančių programų šeimai būdingas failų šifravimas, duomenų vagystės kaltinimai ir turto prievartavimo taktika. Taikydamasi į prastai apsaugotas sistemas ir pasitelkdama kelis užkrato vektorius, ji gali sukelti rimtų veiklos sutrikimų ir finansinę žalą.

Nors išpirkos reikalaujančios programinės įrangos pašalinimas yra būtinas norint sustabdyti tolesnę kenkėjišką veiklą, užšifruotų failų atkūrimas paprastai priklauso nuo saugių atsarginių kopijų prieinamumo. Organizacijos gali gerokai sumažinti savo riziką įdiegdamos griežtas prieigos kontrolės priemones, atnaujindamos sistemas, diegdamos daugiasluoksnes apsaugos priemones ir šviesdamos vartotojus apie besikeičiančias kibernetines grėsmes. Proaktyvi saugumo pozicija išlieka veiksmingiausia apsauga nuo išpirkos reikalaujančių programinės įrangos atakų, tokių kaip „Hommy“.