Antihacker-ransomware

Å beskytte personlige og forretningsmessige data mot moderne skadevaretrusler er ikke lenger valgfritt, det er en operasjonell nødvendighet. Løsepengevirusoperatører fortsetter å forbedre taktikkene, verktøyene og sosiale manipuleringsmetodene sine for å maksimere forstyrrelser og utpressing av betalinger. Selv mindre organisasjoner og hjemmebrukere blir jevnlig målrettet, og gjenoppretting kan være vanskelig eller umulig uten forberedelse. AntiHacker Ransomware, et medlem av Xorist-familien, er nettopp en slik trussel.

TRUSSELOVERSIKT OG AVSTAND

AntiHacker er et ondsinnet program oppdaget av forskere innen informasjonssikkerhet og kategorisert innenfor Xorist-ransomware-familien. Xorist-baserte trusler er vanligvis bygget fra et rammeverk som angripere kan tilpasse, og endre den viste løsepengemeldingen, filtypen, språkelementer og andre parametere. AntiHacker følger den kjente Xorist-strategien: den krypterer offerdata og krever deretter betaling i bytte mot en påstått dekrypteringsnøkkel.

FILKRYPTERINGSATFERD OG -MERKING

Når AntiHacker kompromitterer et system, søker det etter brukertilgjengelige data på tvers av lokale stasjoner og potensielt kartlagte nettverkssteder. Et bredt spekter av filtyper er målrettet, dokumenter, bilder, arkiver, multimediefiler og andre verdifulle datalagre. Hvert krypterte element får nytt navn ved å legge til strengen '.antihacker2017' på slutten av det opprinnelige filnavnet. For eksempel blir en fil som opprinnelig het '1.png' til '1.png.antihacker2017'; '2.pdf' blir til '2.pdf.antihacker2017'; og dette mønsteret gjentas på tvers av alle behandlede filer. Den ekstra utvidelsen tjener to formål: den signaliserer visuelt kompromitteringen til offeret og hjelper ransomware med å identifisere hvilke elementer den allerede har håndtert.

LØSEMELDINGER, POPUP-VENSTER OG BAKGRUNNSMELDINGER

Etter å ha fullført krypteringsrutinen, endrer AntiHacker offerets skrivebordsbakgrunn og slipper en løsepengemelding i to parallelle formater: et popup-vindu og en tekstfil kalt «КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt» (russisk for «SLIK DEKRYPTERER DU FILER»). Meldingsinnholdet som presenteres i popup-vinduet og tekstfilen er det samme. Bakgrunnsvarianten inneholder imidlertid ekstra sosial manipulering, en antatt begrunnelse for at angrepet skjedde fordi brukeren besøkte spesifikke nettsteder for voksne eller ulovlige nettsteder. Denne ydmykende vinkelen er utformet for å presse ofrene til å betale raskt og stille.

TEGNKODE-SÆRLIGHET

På systemer som ikke bruker et kyrillisk tegnsett, kan løsepengeteksten som vises i popup-vinduet fremstå som uleselig vrøvl. Ofre kan derfor se et ødelagt meldingsvindu, men fortsatt finne de lesbare instruksjonene i den slettede tekstfilen. Angripere overser ofte lokaliseringsdetaljer; forsvarere kan bruke slike artefakter til å bidra til å gruppere relaterte hendelser.

TVANGSMEKANIKK: VIKTIGSTE INNGANGSGRENSER OG TRUSSELSANKÅR

Instruksjonene for løsepengekravet sier at ofrene må kontakte angriperne for å få tak i en dekrypteringsnøkkel. De pålegger også en høy belastningsbegrensning: bare 50 forsøk på å taste inn nøkkelen er tillatt, hvoretter meldingen hevder at de krypterte dataene vil gå permanent tapt. Ytterligere advarsler hevder at bruk av sikkerhetsverktøy, omstart eller nedstengning av maskinen vil gjøre filene ukrypterbare. Disse skremselstaktikkene er vanlige i løsepengevirus-strategier og har som mål å fraråde brukere å søke profesjonell hjelp eller forsøke sikre utbedringsprosedyrer.

HVORFOR DET ER RISIKABILT Å BETALE LØSEGELDET

Det er ingen garanti for at nettkriminelle bak AntiHacker (eller andre typer løsepengevirus) vil levere en fungerende dekrypteringsløsning etter betaling. Ofre som betaler mottar ofte ingenting, får en ødelagt nøkkel eller blir mål for gjentatt utpressing. Betaling finansierer også pågående kriminelle operasjoner og gir insentiver til ytterligere angrep. Den forsvarlige holdningen er å unngå å betale når det er mulig og fokusere på gjenopprettingsveier under din kontroll.

REALITETER FOR GJENOPPRETNING

Å fjerne AntiHacker fra et infisert system kan stoppe ytterligere filkryptering, men det dekrypterer ikke data som allerede er låst. Den mest pålitelige veien til gjenoppretting er å gjenopprette rene kopier av berørte filer fra sikkerhetskopier som var isolert, frakoblet eller på annen måte utenfor rekkevidde for skadevaren. Hvis det ikke finnes noen levedyktige sikkerhetskopier, blir alternativene for datagjenoppretting svært begrenset.

PRIMÆRE INFEKSJONSVEKTORER

Utviklere av løsepengevirus er avhengige av det samme brede distribusjonsøkosystemet som driver andre kategorier av skadelig programvare. AntiHacker er intet unntak. Angripere kamuflerer ofte nyttelaster som legitim programvare eller pakker dem sammen med sprukne eller piratkopierte programmer, dokumenter eller installasjonsprogrammer. Bare det å åpne en feltfil kan utløse en nedlastings- eller utførelseskjede.

• Phishing og sosial manipulering levert via e-post, private meldinger eller direktemeldinger med ondsinnede vedlegg eller innebygde lenker.
• Drive-by eller villedende nedlastinger startet fra kompromitterte eller ondsinnede nettsteder uten tydelig samtykke fra brukeren.
• Trojanske lastere og bakdører som lydløst henter og starter ransomware når de er innebygd.
• Upålitelige nedlastingskilder som gratisprogrammer, tredjeparts hosting-sider og peer-to-peer (P2P) fildelingsnettverk.
• Nettsvindel og skadelige reklamekampanjer som omdirigerer brukere mot angrepssett eller uærlige nyttelaster.
• Ulovlige programvareaktiveringsverktøy («cracks» / keygens) og falske programvareoppdateringer som installerer skadelig programvare i stedet for legitime oppdateringer.

OVERSIKT OVER FORSVARSSTRATEGI

Effektivt forsvar mot ransomware legger til rette for lag med mennesker, prosesser og teknologi. Du kan ikke stole på én enkelt beskyttende kontroll; anta at minst ett lag vil svikte. Kombiner brukerbevissthet, herdede konfigurasjoner, grundig oppdatering, robuste sikkerhetskopieringspraksiser og sterke deteksjons-/responsfunksjoner for å redusere både sannsynligheten for og virkningen av et AntiHacker-lignende innbrudd.

• Ta sikkerhetskopier av viktige data.
• Hold operativsystemer, applikasjoner og sikkerhetsverktøy fullstendig oppdatert; installer oppdateringer raskt, spesielt for tjenester for ekstern tilgang og fildeling.
• Bruk anerkjente løsninger for anti-malware / endepunktdeteksjon og -respons (EDR) med atferdsmessig ransomware-deteksjon og automatisk tilbakerulling der det støttes.
• Håndhev brukerrettigheter med lavest mulig privilegium; utfør daglige oppgaver under ikke-administratorkontoer og begrens skrivetilgang til delte datalagre.
• Segmenter nettverk og begrens sideveis bevegelse; isoler sikkerhetskopieringslager og kritiske servere på separate tilgangsnivåer.
• Krev flerfaktorautentisering (MFA) for eksterne pålogginger, privilegerte handlinger og konsoller for sikkerhetskopieringsadministrasjon.

KONKLUSJON

AntiHacker Ransomware illustrerer hvordan trusselaktører tilpasser kit-baserte familier som Xorist for å lage potente, regionalt målrettede utpressingsplaner. Datakryptering, filnavnmerking, flerspråklige løsepengebrevartefakter og tvangsmeldinger er alle konstruert for å drive betaling. Likevel er det sterkeste mottiltaket forberedelse: isolerte sikkerhetskopier, lagdelt forsvar, informerte brukere og en disiplinert responsplan. Organisasjoner og enkeltpersoner som investerer i disse sikkerhetstiltakene, kan gjøre en potensielt katastrofal løsepengevirushendelse til en hendelse som kan gjenopprettes.