Moneybird Ransomware
Irano įsilaužėlių grupė Agrius, dar žinoma kaip Pink Sandstorm, o anksčiau vadinta Americium, neseniai sukūrė naują išpirkos reikalaujančią programinę įrangą, pavadintą Moneybird. Pastebėta, kad ši grėsminga kenkėjiška programa yra nukreipta būtent į Izraelio organizacijas, o tai reiškia reikšmingą „Agrius“ taktikos pokytį.
Turinys
Kibernetiniai nusikaltėliai plečia savo grėsmingą arsenalą
„Agrius“ anksčiau vykdė destruktyvias duomenų naikinimo atakas prieš Izraelio subjektus, dažnai maskuodamas jas kaip išpirkos programinės įrangos incidentus. Moneybird, užkoduoto C++, atsiradimas rodo didėjančią grupės patirtį ir nuolatinį įsipareigojimą kurti naujus kibernetinius įrankius.
Grupės veiklą galima atsekti mažiausiai 2020 m. gruodžio mėn., kai Agrius dalyvavo žlugdant mėginimus įsilaužti į deimantų pramonę Pietų Afrikoje, Izraelyje ir Honkonge. Anksčiau „Agrius“ naudojo valytuvu paverstą išpirkos reikalaujančią programinę įrangą „Apostle“, pagrįstą .NET sistema, ir jos įpėdinį pavadinimu „Fantasy“. Tačiau „Moneybird“ yra didelė pažanga grupei, nes ji demonstruoja besivystančias kibernetines galimybes naudodama C++ programavimo kalbą.
Grėsmės veikėjai naudojasi saugumo spragas, kad gautų prieigą
„Moneybird Ransomware“ naudojama atakos metodika demonstruoja aukštą sudėtingumo lygį, pradedant nuo pažeidžiamumų, esančių į internetą nukreiptuose žiniatinklio serveriuose, išnaudojimo. Šis pradinis išnaudojimas suteikia užpuolikams esminį įėjimo tašką į tikslinės organizacijos tinklą, kurį palengvina ASPXSpy Web apvalkalo diegimas.
Patekęs į pažeistą tinklą, žiniatinklio apvalkalas yra komunikacijos kanalas, skirtas užpuolikams vykdyti daugybę gerai žinomų įrankių, specialiai pritaikytų atlikti išsamią aukos aplinkos žvalgybą. Šie įrankiai leidžia užpuolikams judėti į šoną tinkle, rinkti vertingus kredencialus ir išfiltruoti neskelbtinus duomenis.
Moneybird Ransomware yra aprūpinta pažangiomis šifravimo galimybėmis
Po pradinio įsiskverbimo ir žvalgybos etapo „Moneybird Ransomware“ suaktyvinama pažeistame pagrindiniame kompiuteryje. Ši išpirkos reikalaujanti programa sukurta ypatingą dėmesį skiriant slaptų failų, esančių aplanke „F:\User Shares“, šifravimui. Vykdymo metu išpirkos reikalaujanti programa pateikia išpirkos raštelį, darydama didžiulį spaudimą aukoms užmegzti ryšį per 24 valandas, perspėjant jas apie galimą pavogtų duomenų nutekėjimą.
Moneybird Ransomware naudoja labai sudėtingą šifravimo metodiką, naudojant AES-256 su GCM (Galois / Counter Mode). Ši pažangi šifravimo technika sukuria unikalius kiekvieno failo šifravimo raktus ir pabaigoje prideda užšifruotus metaduomenis. Dėl tikslaus taikymo ir patikimo šifravimo, kurį įdiegė „Moneybird“, duomenų atkūrimo ir failų iššifravimo užduotis daugeliu atvejų tampa itin sudėtinga, o gal net neįmanoma.
Svarbios saugumo priemonės, skirtos išpirkos reikalaujančios programinės įrangos atakai sustabdyti
Siekiant apsaugoti įrenginius ir duomenis nuo išpirkos reikalaujančių programų, gali būti įdiegtos veiksmingos saugumo priemonės. Pirma, labai svarbu išlaikyti naujausią ir patikimą saugos programinę įrangą. Reguliarus apsaugos nuo kenkėjiškų programų atnaujinimas kartu su automatinių naujinimų įjungimu padeda apsisaugoti nuo naujausių grėsmių.
Dar vienas svarbus žingsnis yra tvirtų ir unikalių slaptažodžių įdiegimas visose paskyrose. Tai apima raidžių, skaičių ir simbolių derinio naudojimą, taip pat įprastų ir lengvai atspėjamų slaptažodžių vengimą. Be to, kelių veiksnių autentifikavimo įjungimas suteikia papildomo saugumo lygio, nes norint pasiekti paskyras reikia atlikti papildomus patvirtinimo veiksmus.
Reguliarus atitinkamų duomenų atsarginių kopijų kūrimas yra gyvybiškai svarbus siekiant sumažinti išpirkos reikalaujančios programos atakos poveikį. Atsarginių kopijų kūrimas neprisijungus arba debesies saugyklos sprendimų naudojimas užtikrina, kad šifravimo arba praradimo atveju svarbūs failai gali būti atkurti.
Labai svarbu būti atsargiems naršant internete ir bendraujant su el. Vartotojai turėtų būti skeptiški spustelėdami įtartinas nuorodas arba atsisiųsdami failus iš nepatikimų šaltinių. Labai svarbu būti budriems ir vengti lankytis potencialiai žalingose svetainėse arba nesinaudoti įtartinais el. laiškais, nes juose gali būti išpirkos reikalaujančių programų.
Mokymasis ir nuolatinis informavimas apie naujausias kibernetinio saugumo grėsmes ir atakų metodus yra labai naudingas. Atpažindami įprastą socialinės inžinerijos taktiką, naudojamą sukčiavimo atakose, ir žinodami apie galimos išpirkos programinės įrangos infekcijos požymius, vartotojai gali imtis aktyvių priemonių užkirsti kelią tokioms atakoms ir į jas reaguoti.
Reguliarus operacinių sistemų, programų ir programinės aparatinės įrangos atnaujinimas yra dar vienas svarbus aspektas norint išlaikyti tvirtą saugumą. Pataisymai ir naujinimai dažnai apima saugos pataisas, kurios pašalina pažeidžiamumą, kurį gali išnaudoti išpirkos reikalaujančios programos ir kitos kenkėjiškos programos.
Naudodami šių saugumo priemonių derinį, vartotojai gali sustiprinti savo įrenginių ir duomenų apsaugą nuo pražūtingo išpirkos reikalaujančių atakų poveikio.
