„LockBeast“ išpirkos reikalaujanti programa

Išpirkos reikalaujanti programinė įranga išlieka viena iš labiausiai trikdančių kibernetinių grėsmių tiek organizacijoms, tiek namų vartotojams. Vienas sėkmingas įsilaužimas gali užblokuoti verslui svarbius duomenis, sustabdyti veiklą ir paskatinti brangiai kainuojančias incidentų reagavimo bei atkūrimo pastangas. Sluoksniuotos apsaugos ir pasirengimo reaguoti kūrimas prieš protrūkį yra skirtumas tarp suvaldyto įvykio ir krizės.

GRĖSMĖS SANTRAUKA

Kai „LockBeast“ išpirkos reikalaujanti programa paleidžiama, ji užšifruoja vartotojo duomenis, pakeičia failų pavadinimus, kad į juos būtų įterptas aukos identifikatorius, ir pateikia išpirkos raštelį pavadinimu „README.TXT“. Operatoriai derina šifravimą su duomenų vagyste, kad priverstų aukas mokėti, grasindami nutekinti neskelbtiną informaciją, jei per nustatytą laiką nebus užmegztas ryšys.

ŠIFRAVIMO IR FAILŲ PERVARDINIMO DARBO EILĖ

Šifravimo metu „LockBeast“ prie tikslinių failų prideda ir aukai būdingą ID, ir plėtinį „.lockbeast“. Pavyzdžiui, „1.png“ tampa „1.png.{ED08A034-A9A0-4195-3CC2-81B2521AD6B5}.lockbeast“, o „2.pdf“ tampa „2.pdf.{ED08A034-A9A0-4195-3CC2-81B2521AD6B5}.lockbeast.“. Šis šablonas leidžia užpuolikams sekti atskiras aukas ir patvirtinti mokėjimą prieš suteikiant bet kokią iššifravimo galimybę. Šifravimo rutina siekia aprėpti įvairius duomenų tipus, įskaitant dokumentus, duomenų bazes, archyvus, laikmenas ir šaltinio kodo saugyklas.

IŠPIRKOS RAŠTAS IR DVIGUBO PENKTADIENIO ŠALTINIO TAKTIKA

Faile „README.TXT“ teigiama, kad visi svarbūs failai nepasiekiami, ir teigiama, kad į užpuoliko infrastruktūrą buvo nufiltruoti jautrūs įrašai, pvz., operacijų istorija, klientų asmeniniai duomenys, mokėjimo kortelių duomenys ir sąskaitų likučiai. Dokumente kontaktinė informacija pateikiama per privatumo užtikrinimo programas („Session“ ir „Tox“), įspėjama nepervadinti failų ar nenaudoti trečiųjų šalių iššifravimo įrankių ir nustatomas septynių dienų terminas iki tariamo duomenų paskelbimo. Tai sujungia klasikinį failų šifravimo prievartavimą su viešo nutekėjimo grėsmėmis, siekiant padidinti spaudimą. Mokėti išlieka rizikinga: nėra jokios garantijos, kad iššifravimas veiks, visiškas duomenų atkūrimas ar pavogtos informacijos ištrynimas pavyks net ir sumokėjus išpirką.

PRADINIS PRIEIGOS IR PASKIRSTYMO VEKTORIAI

Stebimi ir tikėtini pristatymo būdai atitinka įprastas išpirkos reikalaujančių programų operacijas. Grėsmių veikėjai užkrėčia kenkėjiškus el. laiškų priedus ar nuorodas, Trojos arklio užkrėstą ar piratinę programinę įrangą ir raktų generatorius, socialinės inžinerijos „palaikymo“ sukčiavimo schemas ir neištaisytų pažeidžiamumų išnaudojimą. Papildomi keliai apima automatinius arba kenkėjiškos reklamos peradresavimus, trečiųjų šalių atsisiuntėjus, pažeistas arba panašias į svetaines svetaines, užkrėstas išimamas laikmenas ir failų bendrinimą tarp lygiaverčių įrenginių. Vykdymas dažnai prasideda, kai vartotojas atidaro spąstais užminuotą vykdomąjį failą, archyvą, „Office“ ar PDF dokumentą arba scenarijų.

IZOLIAVIMO IR IŠNAIKINIMO GAIRĖS

Jei įtariama, kad „LockBeast“ užkrėtė sistemą, nedelsdami imkitės veiksmų. Izoliuokite paveiktus kompiuterius nuo tinklo (laidinio ir belaidžio), kad išvengtumėte tolesnio šifravimo ir viruso plitimo. Išjunkite bendrinamus diskus ir atšaukite įtartinus prieigos žetonus arba sesijas. Išsaugokite nepastovius artefaktus ir žurnalus teismo ekspertizei, tada pašalinkite kenkėjišką programą naudodami patikimą, visiškai atnaujintą saugos sprendimą arba žinomą veiksmingą incidentų reagavimo aplinką. Atkurkite duomenis iš švarių, neprisijungusių atsarginių kopijų tik patvirtinę, kad grėsmė pašalinta; priešingu atveju pakartotinis užkrėtimas gali iš naujo užšifruoti atkurtus duomenis.

ATSIGAUJIMAS IR POVEIKIS VERSLUI

Iššifravimas be užpuolikų įrankių paprastai neįmanomas, nebent yra atsarginės kopijos. Teikite pirmenybę svarbiausių paslaugų atkūrimui iš nekintamų arba neprisijungusių momentinių kopijų. Bet kokį duomenų nutekėjimo teiginį laikykite patikimu, kol neįrodyta kitaip: įvertinkite, kokie duomenys galėjo būti paviešinti, parengkite pranešimus, jei to reikalauja įstatymai ar sutartis, ir stebėkite piktnaudžiavimo atvejus (pvz., sukčiavimą prieš klientus).

SPRENDIMŲ ASPEKTAI DĖL MOKĖJIMO

Nors kiekvienas incidentas turi unikalių operacinių ir teisinių aspektų, išpirkos mokėjimas finansuoja nusikalstamą veiklą ir negarantuoja visiško duomenų atkūrimo ar neatskleidimo. Pirmiausia apsvarstykite alternatyvas: atkūrimą iš atsarginių kopijų, dalinį duomenų rekonstravimą ir klientų apsaugos priemones.

APATINIS LYGINIS

„LockBeast“ derina agresyvų šifravimą su duomenų nutekėjimo grėsmėmis, kad išviliotų aukas. Greitas izoliavimas, drausmingas naikinimas ir patikimos atsarginės kopijos neprisijungus yra labai svarbios atkūrimui. Ilgainiui organizacijos, investuojančios į pataisų diegimą, mažiausių privilegijų apsaugą, patikimą el. pašto ir interneto kontrolę bei realistišką pasirengimą incidentams, smarkiai sumažina tiek išpirkos reikalaujančių programų tikimybę, tiek jų poveikį.