LockBeast izspiedējvīruss

Līdz Mezo. gadam Ransomware. gadā

Tulkot uz:

Izspiedējvīrusi joprojām ir viens no postošākajiem kiberdraudiem gan organizācijām, gan mājas lietotājiem. Viens veiksmīgs ielaušanās var bloķēt uzņēmējdarbībai kritiski svarīgus datus, apturēt darbību un izraisīt dārgus incidentu reaģēšanas un atkopšanas pasākumus. Daudzslāņu aizsardzības un reaģēšanas gatavības izveide pirms uzliesmojuma ir atšķirība starp ierobežotu notikumu un krīzi.

DRAUDU KOPSAVILKUMS

Kad LockBeast izspiedējvīruss ir palaists, tas šifrē lietotāja datus, modificē failu nosaukumus, lai iestrādātu upura identifikatoru, un izsūta izpirkuma pieprasījumu ar nosaukumu “README.TXT”. Operatori apvieno šifrēšanu ar datu zādzību, lai piespiestu upurus maksāt, draudot nopludināt sensitīvu informāciju, ja kontakts netiek nodibināts noteiktā laika posmā.

ŠIFRĒŠANAS UN FAILU PĀRNĒSĀKŠANAS DARBPLŪSMA

Šifrēšanas laikā LockBeast pievieno gan upura ID, gan paplašinājumu “.lockbeast” mērķa failiem. Piemēram, “1.png” kļūst par “1.png.{ED08A034-A9A0-4195-3CC2-81B2521AD6B5}.lockbeast,” un “2.pdf” kļūst par “2.pdf.{ED08A034-A9A0-4195-3CC2-81B2521AD6B5}.lockbeast.” Šis modelis ļauj uzbrucējiem izsekot atsevišķus upurus un apstiprināt maksājumu pirms jebkādas atšifrēšanas iespējas nodrošināšanas. Šifrēšanas rutīnas mērķis ir aptvert plašu datu tipu klāstu, tostarp dokumentus, datubāzes, arhīvus, multivides failus un pirmkoda krātuves.

Izpirkuma maksa un dubultās izspiešanas taktika

Piezīme “README.TXT” apgalvo, ka visi svarīgie faili nav pieejami, un apgalvo, ka uzbrucēja infrastruktūrā ir notikusi sensitīvu ierakstu, piemēram, darījumu vēstures, klientu personas datu, maksājumu karšu datu un kontu atlikumu, eksfiltrācija. Piezīme sniedz kontaktinformāciju, izmantojot uz privātumu orientētus ziņojumapmaiņas rīkus (Session un Tox), brīdina par failu pārdēvēšanu vai trešo pušu atšifrētāju izmantošanu un nosaka septiņu dienu termiņu pirms iespējamas datu publicēšanas. Tas apvieno klasisko failu šifrēšanas izspiešanu ar publiskas noplūdes draudiem, lai palielinātu spiedienu. Maksāšana joprojām ir riskanta: nav garantijas, ka atšifrēšana darbosies, datu pilnīga atgūšana vai nozagtās informācijas dzēšana izdosies pat tad, ja tiek nosūtīta izpirkuma maksa.

SĀKOTNĒJĀS PIEEJAS UN SADALĪJUMA VEKTORI

Novērotās un iespējamās piegādes metodes atbilst izplatītām izspiedējvīrusu operācijām. Draudu izpildītāji izplata infekcijas, izmantojot ļaunprātīgus e-pasta pielikumus vai saites, Trojas zirgu inficētu vai pirātisku programmatūru un atslēgu ģeneratorus, sociālās inženierijas “atbalsta” krāpniecības shēmas un neatrisinātu ievainojamību izmantošanu. Papildu ceļi ietver nejaušas vai ļaunprātīgas reklāmas novirzīšanas, trešo pušu lejupielādētājus, apdraudētas vai līdzīgas vietnes, inficētus noņemamus datu nesējus un vienādranga failu koplietošanu. Izpilde bieži sākas, kad lietotājs atver ar lamatām ievietotu izpildāmo failu, arhīvu, Office vai PDF dokumentu vai skriptu.

IEROBEŽOŠANAS UN IZSKAUŠANAS NORĀDĪJUMI

Ja rodas aizdomas, ka LockBeast ir inficējis sistēmu, rīkojieties nekavējoties. Izolējiet skartās iekārtas no tīkla (vadu un bezvadu), lai novērstu turpmāku šifrēšanu un sānu izplatīšanos. Atspējojiet koplietotos diskus un atsauciet aizdomīgus piekļuves tokenus vai sesijas. Saglabājiet gaistošus artefaktus un žurnālus forenzikai un pēc tam noņemiet ļaunprogrammatūru, izmantojot uzticamu, pilnībā atjauninātu drošības risinājumu vai zināmu, labu incidentu reaģēšanas vidi. Atjaunojiet no tīrām, bezsaistes dublējumkopijām tikai pēc tam, kad esat apstiprinājis, ka apdraudējums ir novērsts; pretējā gadījumā atkārtota inficēšana var atkārtoti šifrēt atjaunotos datus.

ATJAUNOŠANĀS UN IETEKME UZ UZŅĒMĒJDARBĪBU

Atšifrēšana bez uzbrucēju rīkiem parasti nav iespējama, ja vien nav dublējumu. Piešķiriet prioritāti vissvarīgāko pakalpojumu atjaunošanai no nemaināmiem vai bezsaistes momentuzņēmumiem. Uztveriet jebkuru apgalvojumu par datu noplūdi kā ticamu, līdz netiek pierādīts pretējais: novērtējiet, kādi dati varētu būt nopludināti, sagatavojiet paziņojumus, ja to pieprasa likums vai līgums, un uzraugiet ļaunprātīgu izmantošanu (piemēram, krāpšanu pret klientiem).

LĒMUMA PUNKTI PAR MAKSĀJUMU

Lai gan katram incidentam ir unikāli operatīvie un juridiskie apsvērumi, izpirkuma maksas maksāšana finansē noziedzīgas darbības un negarantē pilnīgu datu atgūšanu vai neizpaušanu. Vispirms apsveriet alternatīvas: atjaunošanu no dublējumkopijām, daļēju datu rekonstrukciju un klientu aizsardzības pasākumus.

KOPSAVILKUMS

LockBeast apvieno agresīvu šifrēšanu ar datu noplūdes draudiem, lai piespiestu upurus. Ātra izolācija, disciplinēta iznīcināšana un uzticamas bezsaistes dublējumkopijas ir kritiski svarīgas atkopšanai. Ilgtermiņā organizācijas, kas iegulda līdzekļus ielāpu nodrošināšanā, mazāko privilēģiju ierobežošanā, spēcīgā e-pasta un tīmekļa kontrolē un reālistiskā incidentu gatavībā, ievērojami samazina gan izspiedējvīrusu notikumu iespējamību, gan ietekmi.

Ziņojumi

Tika atrasti šādi ar LockBeast izspiedējvīruss saistīti ziņojumi:

YOUR FILES ARE ENCRYPTED AND CONDIDENTIAL DATA HAS BEEN STOLEN

All your documents, databases, source codes and other important files are now inaccessible.
They are protected by military standard encryption algorigthms that cannot be broken without a special key.

In addition, some of your data has been copied and is on our servers.
- and much more...
The stolen data contains information about transactions made in your applications, personal data of your customers, including full names, contact details, document numbers, their card numbers in your casino and their balance.
If you refuse to deal with us, we will publicly post your confidential information on our blog.

Our group is not politically motivated, we just love money like all people.
Instead of paying huge fines, getting sued by employees and customers, you can simply write to us and negotiate a deal.

How our negotiations with you will proceed:
1. You contact us at the contacts listed below and send us your personal decryption id.
2. We will show you what data we stole from you and decrypt 1 test file of your choice so you know that all your files are recoverable.
3. We will negotiate a ransom price with you and you pay it.
4. We give you a decryptor for your data, as well as logs of secure deletion all your data.
5. We give you a technical report on how your network was infiltrated.

YOUR PERSONAL ID: -

OUR CONTACTS:
1. SESSION
Download Session Messenger (hxxps://getsession.org/)
Our Session ID:
0528d01425626aa9727970af4010c22f5ec5c3c1e7cd21cbecc762b88deb83d03c

2. TOX MESSENGER
Download Tox (hxxps://tox.chat/)
Our Tox ID:
D29B1DD9540EFCC4A04F893B438956A0354A66A31277B65125E7C4BF2E092607338C93FDE53D

Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
* If you do not contact us within 7 days, we will post your sensitive data on our blog and report the leak to your partners, customers, employees, as well as to regulators and the media.