Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Ransomware Mortar Ransomware

Mortar Ransomware

Autorius Mezo, Ransomware
Versti į:

Kenkėjiška programinė įranga ir toliau išlieka viena didžiausių kibernetinio saugumo grėsmių, su kuria susiduria tiek organizacijos, tiek asmenys. Šiuolaikinės išpirkos reikalaujančių programų atakos gali sutrikdyti verslo veiklą, sukelti didelių finansinių nuostolių ir per kelias valandas pažeisti neskelbtiną informaciją. Išpirkos reikalaujančių programų grupuotėms tampant vis sudėtingesnėms, siekiant apsaugoti vertingus duomenis ir užtikrinti veiklos tęstinumą, būtina palaikyti stiprią saugumo kontrolę ir aktyvią gynybą.

„Mortar Ransomware“ apžvalga

„Mortar“ išpirkos reikalaujanti programa yra failus šifruojanti kenkėjiška programa, kurią nustatė kibernetinio saugumo tyrėjai. Ši grėsmė pirmiausia skirta įmonių aplinkai, kurioje užpuolikai siekia kuo labiau sutrikdyti veiklą ir padidinti spaudimą aukoms mokėti išpirką. Patekusi į pažeistą tinklą, „Mortar“ užšifruoja failus ir palieka išpirkos raštelį, pavadintą pagal unikalų aukos identifikatorių, laikantis formato „README-[aukos ID].txt“.

Išskirtinis šios išpirkos reikalaujančios programos bruožas yra failų pervadinimas. Šifravimo metu „Mortar“ prie kiekvieno paveikto failo prideda unikalų aukos ID. Pavyzdžiui, failas, kurio pradinis pavadinimas buvo „1.png“, gali tapti „1.png.4RcrXfvVksS5ACA“, o dokumentas, pvz., „2.pdf“, gali būti transformuotas į „2.pdf.4RcrXfvVksS5ACA“. Tas pats identifikatorius tada naudojamas išpirkos raštelio failo pavadinime, sukuriant tiesioginį ryšį tarp aukos ir atakos.

Šifravimo procesas ir išpirkos reikalavimai

Įsilaužusi į tinklą, „Mortar“ užšifruoja įvairius duomenis, įskaitant dokumentus, duomenų bazes, nuotraukas ir kitus vertingus verslo failus. Išpirkos reikalaujančiame rašte teigiama, kad užpuolikai naudojo AES-256 ir RSA-2048 šifravimo algoritmus, kad užblokuotų aukos informaciją. Nors tokie teiginiai yra įprasti tarp išpirkos reikalaujančių programų operatorių, bendras tikslas išlieka tas pats: padaryti duomenis neprieinamus be atitinkamo iššifravimo rakto.

Išpirkos raštelyje aukoms pranešama, kad vienintelis būdas atkurti failus – įsigyti iššifravimo įrankį iš užpuolikų. Užuot nurodę fiksuotą išpirkos sumą, nusikaltėliai nukreipia aukas į „Tor“ pagrindu veikiantį portalą ir pateikia prisijungimo duomenis, kuriuos sudaro vartotojo vardas ir slaptažodis. Toks metodas leidžia užpuolikams individualiai derėtis dėl mokėjimų ir potencialiai koreguoti išpirkos reikalavimus, atsižvelgiant į suvokiamą aukos organizacijos vertę.

Ar galima atkurti užšifruotus failus?

Atkurti išpirkos reikalaujančios programinės įrangos užšifruotus failus dažnai yra itin sunku neturint prieigos prie užpuolikų iššifravimo mechanizmo. Retais atvejais kibernetinio saugumo tyrėjai aptinka įgyvendinimo klaidų ar kriptografinių spragų, kurios leidžia kurti nemokamus iššifravimo įrankius. Tačiau tokie atvejai yra reti, o aukos, nukentėjusios nuo gerai sukurtos išpirkos reikalaujančios programinės įrangos, dažnai susiduria su ribotomis atkūrimo galimybėmis.

Išpirkos mokėjimas paprastai laikomas didelės rizikos sprendimu. Kibernetiniai nusikaltėliai neprivalo pateikti veikiančios iššifravimo priemonės gavę mokėjimą. Daugelis aukų yra susidūrusios su situacijomis, kai lėšos buvo pervestos, tačiau atkūrimo įrankiai niekada nebuvo pristatyti arba pateikti įrankiai nepavyko sėkmingai atkurti duomenų. Todėl mokėjimas gali sukelti papildomų finansinių nuostolių negarantuojant failų atkūrimo.

Infekcijos vektoriai ir atakos metodai

„Mortar“ aukas gali pasiekti keliais atakų metodais, dažniausiai naudojamais išpirkos reikalaujančių programų kampanijose. Sukčiavimas apsimetant išlieka vienu iš labiausiai paplitusių užkrato vektorių. Užpuolikai platina el. laiškus su kenkėjiškais priedais, tokiais kaip suspausti archyvai, vykdomieji failai arba „Microsoft Office“ dokumentai, įterpti su kenksmingomis makrokomandomis. Atidarius šiuos failus, galima pradėti išpirkos reikalaujančios programinės įrangos diegimo procesą.

Papildomi užkrato keliai apima Trojos arklius turinčią programinę įrangą, netikrus atnaujinimų mechanizmus, kenkėjiškas reklamos kampanijas, nepatikimus atsisiuntimo portalus ir piratines programas, platinamas neoficialiais kanalais. Šie metodai išnaudoja vartotojų pasitikėjimą ir nepakankamą saugumo kontrolę, kad gautų prieigą prie sistemų.

Tikslinių įmonių įsilaužimų metu grėsmių kūrėjai gali naudoti pažangesnius metodus. Užpuolikai dažnai bando pažeisti nuotolinio darbalaukio protokolo (RDP) paslaugas, naudodami „brute-force“ atakas prieš silpnus prisijungimo duomenis. Jie taip pat gali išnaudoti netaisytas interneto sistemų pažeidžiamumus, kad įgytų pradinę poziciją, prieš pereidami prie tinklo horizontaliai ir vienu metu diegdami išpirkos reikalaujančią programinę įrangą keliuose įrenginiuose.

Reagavimas į skiedinio infekciją

Aptikus „Mortar“, labai svarbu nedelsiant jį sustabdyti. Išpirkos reikalaujančios programinės įrangos pašalinimas iš paveiktų sistemų padeda užkirsti kelią tolesnei šifravimo veiklai ir sumažina papildomos žalos riziką aplinkoje. Tačiau kenkėjiškų programų pašalinimo nereikėtų painioti su duomenų atkūrimu. Kenkėjiškos programos pašalinimas automatiškai neatkuria užšifruotų failų.

Patikimiausias atkūrimo metodas išlieka švarių atsarginių kopijų, sukurtų prieš ataką, atkūrimas. Atsarginės kopijos turėtų būti saugomos atskirai nuo gamybos sistemų, kad incidento metu išpirkos reikalaujanti programinė įranga neužšifruotų atsarginių kopijų saugyklų. Organizacijos, kurios saugo saugias, izoliuotas atsargines kopijas, paprastai turi daug geresnes galimybes atsigauti po išpirkos reikalaujančių programų atakų nesikišdamos į kibernetinius nusikaltėlius.

Tvirtos apsaugos nuo išpirkos reikalaujančių programų kūrimas

Efektyviai apsaugai nuo išpirkos reikalaujančių programų reikalinga daugiasluoksnė saugumo strategija, apimanti technologijas, vartotojų informuotumą ir aktyvią priežiūrą. Organizacijos turėtų reguliariai atnaujinti operacines sistemas, programas ir tinklo įrenginius, kad pašalintų pažeidžiamumus, kuriais dažnai naudojasi užpuolikai. Tvirtos autentifikavimo politikos, ypač nuotolinės prieigos paslaugoms, gali žymiai sumažinti neteisėtos prieigos riziką.

Lygiai taip pat svarbu sukurti patikimą atsarginių kopijų kūrimo strategiją. Svarbiausi duomenys turėtų būti kopijuojami į kelias vietas, įskaitant neprisijungusias arba atjungtas saugyklas, kurių negalima pasiekti iš pažeistų sistemų. Reguliarus atsarginių kopijų testavimas užtikrina, kad atkūrimo procedūros tinkamai veiktų avariniu atveju.

Pagrindinės saugumo praktikos apima:

  • Dažnas atsarginių kopijų kūrimas atskirose ir apsaugotose vietose.
  • Saugos naujinimų ir pataisų diegimas, kai tik jie tampa prieinami.
  • Naudokite stiprius, unikalius slaptažodžius ir įjunkite daugiafaktorinį autentifikavimą.
  • Nereikalingų nuotolinės prieigos paslaugų ribojimas ir prisijungimo bandymų stebėjimas.
  • Mokyti darbuotojus atpažinti sukčiavimo el. laiškus ir įtartinus priedus.
  • Diegiame patikimus galinių taškų apsaugos ir tinklo stebėjimo sprendimus.

Organizacijos taip pat turėtų taikyti mažiausių privilegijų principą, suteikdamos vartotojams tik jų vaidmenims reikalingą prieigą. Nuolatinis stebėjimas, saugumo auditai ir incidentų reagavimo planavimas dar labiau sustiprina atsparumą išpirkos reikalaujančioms programinės įrangos kampanijoms, tokioms kaip „Mortar“. Prevencinių kontrolės priemonių, greito aptikimo galimybių ir patikimų atsarginių kopijų sistemų derinys išlieka veiksmingiausia apsauga nuo šiuolaikinių failų šifravimo grėsmių.

Išvada

„Mortar“ išpirkos reikalaujanti programa kelia rimtą grėsmę įmonių tinklams dėl savo gebėjimo užšifruoti vertingus duomenis, sutrikdyti veiklą ir daryti spaudimą aukoms mokėti už iššifravimą. Pridėdami unikalius identifikatorius prie užšifruotų failų ir nukreipdami aukas į specialų išpirkos portalą, užpuolikai demonstruoja struktūrizuotą ir tikslingą požiūrį. Nors užšifruotų failų atkūrimas gali būti sudėtingas, organizacijos, kurios teikia pirmenybę stipriai kibernetinio saugumo praktikai, tvarko izoliuotas atsargines kopijas ir aktyviai šalina pažeidžiamumus, gali gerokai sumažinti išpirkos reikalaujančių programų incidentų poveikį ir pagerinti bendrą saugumo padėtį.

System Messages

The following system messages may be associated with Mortar Ransomware:

--------------------------------------------
| What happened to your files?
--------------------------------------------

We breached your corporate network and encrypted the data on your computers. The encrypted data includes documents, databases, photos and more - all were encrypted using a military grade encryption algorithms (AES-256 and RSA-2048). You cannot access those files right now. But don't worry!

You can still get those files back and be up and running again in no time.

---------------------------------------------
| How to contact us to get your files back?
---------------------------------------------

The only way to restore your files is by purchasing a decryption tool loaded with a private key we created specifically for your network.

Once run on an effected computer, the tool will decrypt all encrypted files - and you can resume day-to-day operations, preferably with better cyber security in mind. If you are interested in purchasing the decryption tool contact us at hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion.

!IMPORTANT!
TO RESTORE YOUR FILES CONTACT US VIA TOR BROWSER

WEBSITE: hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion
USERNAME: sid
PASSWORD: 4RcrXfvVksS5ACA

BACKUP LINK TO SUPPORT TEAM: hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion
!!!!!!!!!!!

Tendencijos

„LinkedIn“ bendradarbiavimo el. laiškų sukčiavimas

Sukčiavimas, Šlamštas
Kibernetiniai nusikaltėliai, slepiantys „LinkedIn Collaboration“ sukčiavimą, bando privilioti gavėjus, pateikdami užklausą, panašią į profesionalų verslo užklausą. El. laiškuose teigiama, kad juos atsiuntė pirkėjas, vardu Jonathanas Spriggsas iš „Storex Trading Ltd.“, kuris tariamai rado gavėją per „LinkedIn“ ir nori aptarti didelį 12 000 vienetų produktų užsakymą. Kad žinutė atrodytų...

Jūsų „Microsoft Outlook“ el. pašto klientas yra...

Sukčiavimas, Šlamštas
El. laiškai „Jūsų „Microsoft Outlook“ el. pašto programa pasenusi“ yra sukčiavimo žinutės, sukurtos taip, kad atrodytų kaip oficialūs „Microsoft Outlook“ saugos pranešimai. El. laiškuose gavėjai įspėjami, kad jų el. pašto programa tariamai pasenusi, ir teigiama, kad neatnaujinus jos nedelsiant, galima prarasti el. laiškus, kontaktus, kalendorius, susitikimus ir kitus svarbius paskyros duomenis....

Labiausiai žiūrima

Įkeliama...