Paleisti (Makop) išpirkos reikalaujančią programinę įrangą

Skaitmeninės aplinkos apsauga nuo kenkėjiškų programų tapo kritine tiek asmenų, tiek organizacijų atsakomybe. Šiuolaikinės išpirkos reikalaujančios programinės įrangos operacijos nebėra oportunistinės kenkėjiškos priemonės; tai apskaičiuotos, daugiapakopės atakos, skirtos užšifruoti, išgauti ir viešai atskleisti neskelbtiną informaciją. Viena iš tokių sudėtingų grėsmių, kurią šiuo metu stebi saugumo tyrėjai, yra „Run Ransomware“ – kenkėjiška atmaina, demonstruojanti besivystančių šiuolaikinių kibernetinių nusikaltėlių grupuočių taktiką.

Paleiskite išpirkos reikalaujančią programinę įrangą: „Makop“ šeimos variantas

Saugumo analitikai nustatė, kad „Run Ransomware“ yra išpirkos reikalaujančių programų „Makop“ šeimos narys – tai žinoma failus šifruojančių kenkėjiškų programų atmainų grupė, siejama su agresyviais turto prievartavimo metodais. Grėsmė buvo atskleista atliekant platesnį aktyvių ir naujų išpirkos reikalaujančių programų kampanijų tyrimą.

Paleidus išpirkos reikalaujančią programą „Run Ransomware“, ji pradeda sistemingą šifravimo procesą, nukreiptą į vartotojų failus visoje pažeistoje sistemoje. Užšifravusi duomenis, ji pakeičia failų pavadinimus, pridėdama tris skirtingus elementus: unikalų aukos ID, kontaktinį el. pašto adresą ir plėtinį „.run“. Pavyzdžiui, toks failas kaip „1.png“ tampa „1.png.[2AF20FA3].[runandpay@outlook.com].run“. Ši pervadinimo struktūra tarnauja ir kaip kompromitacijos žymuo, ir kaip psichologinio spaudimo taktika, todėl infekcija tampa iš karto matoma.

Be failų šifravimo, išpirkos reikalaujanti programa pakeičia sistemos foną, kad sustiprintų atakos pranešimą, ir pateikia išpirkos reikalaujantį pranešimą pavadinimu „+README-WARNING+.txt“. Šie veiksmai skirti užtikrinti, kad auka negalėtų ignoruoti įsilaužimo.

Turto prievartavimo taktika ir psichologinis spaudimas

Išpirkos raštelyje pateikiamas aiškus ir įtikinamas pranešimas. Jame teigiama, kad aukos kompiuteris buvo užrakintas, failai užšifruoti ir pavogti jautrūs duomenys. Šis šifravimo ir duomenų nutekėjimo derinys rodo dvigubo turto prievartavimo strategiją – techniką, kurią vis dažniau naudoja šiuolaikiniai išpirkos reikalaujančių programų operatoriai.

Aukos raginamos susisiekti su užpuolikais nurodytu el. pašto adresu „runandpay@outlook.com“ ir nurodyti savo unikalų ID. Rašte pabrėžiama skuba, siūlant sumažintą išpirką, jei susisiekiama per pirmąsias 24 valandas. Taip pat grasinama, kad nesilaikant nurodymų pavogti failai bus paviešinti. Be to, įspėjama, kad jei auka atsisakys mokėti, iššifravimo įrankis bus ištrintas, o tai padidina numatomą nuolatinio duomenų praradimo riziką.

Iš tikrųjų išpirkos sumokėjimas negarantuoja failų atkūrimo. Daugelis aukų gauna neveikiančius iššifravimo įrankius arba yra ignoruojamos po sumokėjimo. Neturint prieigos prie užpuolikų privačių iššifravimo raktų, atkurti užšifruotus failus paprastai neįmanoma, nebent būtų patikimos atsarginės kopijos.

Infekcijos vektoriai ir pasiskirstymo metodai

Išpirkos reikalaujanti programa „Run Ransomware“ naudoja įprastus, bet labai efektyvius platinimo kanalus, naudojamus visoje išpirkos reikalaujančių programų aplinkoje. Infekcija paprastai įvyksta po sąveikos su kenkėjišku ar klaidinančiu turiniu. Grėsmių kūrėjai dažnai slepia naudingąją informaciją failuose, kurie atrodo teisėti ar įprasti.

Įprasti infekcijos keliai yra šie:

• Sukčiavimo el. laiškai su kenkėjiškais priedais arba nuorodomis
• Netikros techninės pagalbos žinutės ir socialinės inžinerijos sukčiavimo atvejai
• Piratinė programinė įranga, nulaužtos programos ir raktų generatoriai
• Pažeistos arba apgaulingos svetainės
• Lygiaverčių failų bendrinimo tinklai
• Kenkėjiškos reklamos ir išnaudojimo rinkiniai
• Užkrėsti USB diskai
• Neištaisytų programinės įrangos pažeidžiamumų išnaudojimas

Kenkėjiški failai gali būti vykdomosios programos, scenarijai, suspausti archyvai (ZIP arba RAR) arba įprasti dokumentų formatai, pvz., „Word“, „Excel“ ir PDF failai. Pasenusi programinė įranga žymiai padidina pažeidžiamumą, nes kenkėjiški veikėjai dažnai išnaudoja žinomus pažeidžiamumus, kad gautų pradinę prieigą.

Neatidėliotino pašalinimo svarba

Patekusi į sistemą, išpirkos reikalaujanti programa turėtų būti kuo greičiau pašalinta. Jei ji paliekama aktyvi, ji gali toliau šifruoti naujai sukurtus arba prijungtus failus, įskaitant tuos, kurie yra susietuose tinklo diskuose arba bendrinamoje saugykloje. Įmonių aplinkoje tai gali sukelti vieno pažeisto galinio taško išpuolį iki didelio tinklo incidento.

Laiku izoliavus užkrėstą įrenginį nuo tinklo, galima užkirsti kelią virusų judėjimui iš tinklo. Tačiau vien pašalinimas neatšifruoja paveiktų failų; jis tik sustabdo tolesnę kenkėjišką veiklą.

Gynybos stiprinimas: esminės saugumo praktikos

Efektyviai apsaugai nuo „Run Ransomware“ ir panašių grėsmių reikalinga daugiasluoksnė saugumo strategija. Nors nė viena sistema nėra visiškai apsaugota, toliau nurodytos geriausios praktikos žymiai sumažina rizikos poveikį:

• Reguliariai kurkite neprisijungus arba debesyje esančias atsargines kopijas ir patikrinkite jų vientisumą.
• Nuolat atnaujinkite operacines sistemas ir programas naudodami naujausius saugos pataisymus.
• Naudokite patikimus galinių taškų apsaugos sprendimus su grėsmių aptikimu realiuoju laiku.

• Išjunkite makrokomandas „Office“ dokumentuose, nebent tai būtų absoliučiai būtina.

• Venkite piratinės ar neoficialios programinės įrangos atsisiuntimo.

• Būkite atsargūs su nepageidaujamais el. laiškais, ypač tais, kuriuose yra priedų ar skubių prašymų.

• Apribokite administratoriaus teises, kad sumažintumėte neteisėtų sistemos pakeitimų skaičių.

• Įdiegti tinklo segmentavimą organizacinėje aplinkoje.

Be techninių valdiklių, vartotojų sąmoningumas išlieka kibernetinio atsparumo kertiniu akmeniu. Mokydami asmenis atpažinti sukčiavimo bandymus ir įtartinus atsisiuntimus, galite smarkiai sumažinti sėkmingų užkrėtimų skaičių.

Galutinis vertinimas

„Run Ransomware“ yra šiuolaikinių išpirkos reikalaujančių programų operacijų vis sudėtingesnio iliustracija. Šifravimo, duomenų vagysčių ir psichologinio manipuliavimo būdu ji verčia aukas greitai priimti sprendimus dėl mokėjimo. Jos ryšys su „Makop“ išpirkos reikalaujančių programų šeima pabrėžia struktūrizuotą ir besivystantį šių nusikalstamų įmonių pobūdį.

Atkūrimas be atsarginių kopijų dažnai yra neįmanomas, o išpirkos mokėjimas išlieka didelės rizikos veiksniu. Patikimiausia apsauga slypi aktyvioje gynyboje: patikimose atsarginių kopijų kūrimo strategijose, savalaikiuose programinės įrangos atnaujinimuose, stiprioje galinių taškų apsaugoje ir informuotame vartotojų elgesyje. Šiandienos grėsmių pasaulyje pasirengimas nėra pasirinktinis, jis yra būtinas.