Moneybird Ransomware
Kumpulan penggodam Iran Agrius, juga dikenali sebagai Pink Sandstorm dan dahulunya Americium, baru-baru ini telah membangunkan jenis perisian tebusan baharu yang dipanggil Moneybird. Malware yang mengancam ini telah diperhatikan menyasarkan organisasi Israel secara khusus, menandakan perubahan ketara dalam taktik Agrius.
Isi kandungan
Penjenayah Siber Meluaskan Arsenal Yang Mengancam Mereka
Agrius mempunyai sejarah melakukan serangan penghapusan data yang merosakkan terhadap entiti Israel, sering menyamar sebagai insiden perisian tebusan. Kemunculan Moneybird, berkod dalam C++, mempamerkan kepakaran kumpulan yang semakin meningkat dan komitmen berterusan untuk mencipta alatan siber baharu.
Aktiviti kumpulan itu boleh dikesan sekurang-kurangnya pada Disember 2020, apabila Agrius terlibat dalam mengganggu percubaan pencerobohan yang menyasarkan industri berlian di Afrika Selatan, Israel dan Hong Kong. Sebelum ini, Agrius menggunakan perisian tebusan yang menjadi pengelap yang dipanggil Apostle, berdasarkan rangka kerja .NET, dan penggantinya bernama Fantasy. Walau bagaimanapun, Moneybird mewakili kemajuan yang ketara untuk kumpulan itu, kerana ia mempamerkan keupayaan sibernya yang berkembang melalui bahasa pengaturcaraan C++nya.
Aktor Ancaman Memanfaatkan Kerentanan Keselamatan untuk Mendapat Akses
Metodologi serangan yang digunakan oleh Moneybird Ransomware menunjukkan tahap kecanggihan yang tinggi, bermula dengan eksploitasi kelemahan yang terdapat dalam pelayan Web yang menghadap ke Internet. Eksploitasi awal ini memberikan penyerang titik masuk yang penting ke dalam rangkaian organisasi yang disasarkan, difasilitasi oleh penggunaan shell Web ASPXSpy.
Sebaik sahaja berada di dalam rangkaian yang terjejas, cangkerang Web berfungsi sebagai saluran komunikasi untuk penyerang untuk melaksanakan pelbagai alat terkenal yang khusus disesuaikan untuk menjalankan peninjauan menyeluruh terhadap persekitaran mangsa. Alat ini membolehkan penyerang bergerak secara menyamping dalam rangkaian, mengumpulkan bukti kelayakan berharga dan mengeluarkan data sensitif.
Moneybird Ransomware Dilengkapi dengan Keupayaan Penyulitan Lanjutan
Berikutan fasa penyusupan dan peninjauan awal, Moneybird Ransomware diaktifkan pada hos yang terjejas. Perisian tebusan ini direka bentuk dengan tumpuan khusus untuk menyulitkan fail sensitif yang terdapat dalam folder "F:\User Shares". Selepas pelaksanaan, perisian tebusan itu menggunakan nota tebusan, memberikan tekanan besar kepada mangsa untuk menjalin hubungan dalam tempoh masa 24 jam, memberi amaran kepada mereka tentang potensi kebocoran data yang dicuri oleh orang ramai.
Moneybird Ransomware menggunakan metodologi penyulitan yang sangat canggih, menggunakan AES-256 dengan GCM (Galois/Counter Mode). Teknik penyulitan lanjutan ini menjana kunci penyulitan unik untuk setiap fail dan menambahkan metadata yang disulitkan pada penghujungnya. Penyasaran ketepatan dan penyulitan teguh yang dilaksanakan oleh Moneybird menjadikan tugas pemulihan data dan penyahsulitan fail amat mencabar, jika tidak hampir mustahil, dalam kebanyakan kes.
Langkah Keselamatan Penting untuk Menghentikan Serangan Ransomware
Langkah keselamatan yang berkesan boleh dilaksanakan untuk melindungi peranti dan data daripada serangan ransomware. Pertama, mengekalkan perisian keselamatan yang terkini dan teguh adalah penting. Mengemas kini program anti-perisian hasad secara kerap, bersama-sama dengan mendayakan kemas kini automatik, membantu melindungi daripada ancaman terkini.
Melaksanakan kata laluan yang kukuh dan unik untuk semua akaun adalah satu lagi langkah penting. Ini terdiri daripada menggunakan gabungan huruf, nombor dan simbol, serta mengelakkan kata laluan biasa dan mudah diteka. Selain itu, mendayakan pengesahan berbilang faktor menambah lapisan keselamatan tambahan dengan memerlukan langkah pengesahan tambahan untuk mengakses akaun.
Menyandarkan data yang berkaitan secara kerap adalah penting untuk mengurangkan kesan serangan perisian tebusan. Mencipta sandaran luar talian atau menggunakan penyelesaian storan Awan memastikan fail kritikal boleh dipulihkan sekiranya berlaku penyulitan atau kehilangan.
Berhati-hati semasa menyemak imbas Internet dan berinteraksi dengan e-mel adalah penting. Pengguna harus bersikap ragu-ragu apabila mengklik pada pautan yang mencurigakan atau memuat turun fail daripada sumber yang tidak dipercayai. Adalah penting untuk berwaspada dan mengelak daripada melawati tapak web yang berpotensi berbahaya atau terlibat dengan e-mel yang mencurigakan, kerana ia mungkin mengandungi muatan perisian tebusan.
Mendidik diri sendiri dan sentiasa mendapat maklumat tentang ancaman keselamatan siber terkini dan teknik serangan adalah sangat berfaedah. Menyedari taktik kejuruteraan sosial yang biasa digunakan dalam serangan pancingan data dan menyedari tanda-tanda kemungkinan jangkitan perisian tebusan boleh membantu pengguna mengambil langkah proaktif untuk mencegah dan bertindak balas terhadap serangan tersebut.
Mengemas kini sistem pengendalian, aplikasi dan perisian tegar secara kerap adalah satu lagi aspek penting untuk mengekalkan keselamatan yang kukuh. Tampalan dan kemas kini selalunya termasuk pembetulan keselamatan yang menangani kelemahan yang boleh dieksploitasi oleh perisian tebusan dan perisian hasad lain.
Dengan melakukan gabungan langkah keselamatan ini, pengguna boleh meningkatkan perlindungan peranti dan data mereka terhadap kesan buruk serangan ransomware.
