Rabatttilbud for flere lisenser
Trusseldatabase løsepengeprogramvare Mortar ransomware

Mortar ransomware

Med Mezo i løsepengeprogramvare
Oversett til:

Skadelig programvare er fortsatt en av de mest betydelige truslene mot nettsikkerhet som både organisasjoner og enkeltpersoner står overfor. Moderne ransomware-angrep kan forstyrre forretningsdriften, forårsake alvorlige økonomiske tap og kompromittere sensitiv informasjon i løpet av få timer. Etter hvert som ransomware-grupper blir stadig mer sofistikerte, er det viktig å opprettholde sterke sikkerhetskontroller og proaktive forsvar for å beskytte verdifulle data og sikre driftskontinuitet.

Mortar Ransomware – et overblikk

Mortar Ransomware er en filkrypterende skadevarestamme identifisert av nettsikkerhetsforskere. Trusselen er primært utformet for å målrette bedriftsmiljøer, der angripere søker å maksimere driftsforstyrrelser og øke presset på ofrene for å betale løsepenger. Når Mortar er distribuert i et kompromittert nettverk, krypterer den filer og etterlater seg en løsepengemelding oppkalt etter offerets unike identifikator, i formatet 'README-[offerets ID].txt'.

Et særegent trekk ved denne løsepengeviruset er dens filnavngivingsfunksjon. Under kryptering legger Mortar til en unik offer-ID til hver berørte fil. For eksempel kan en fil som opprinnelig het «1.png» bli «1.png.4RcrXfvVksS5ACA», mens et dokument som «2.pdf» kan bli omgjort til «2.pdf.4RcrXfvVksS5ACA». Den samme identifikatoren brukes deretter i filnavnet i løsepengemeldingen, noe som skaper en direkte tilknytning mellom offeret og angrepet.

Krypteringsprosess og krav om løsepenger

Etter å ha infiltrert et nettverk, krypterer Mortar et bredt spekter av data, inkludert dokumenter, databaser, fotografier og andre verdifulle forretningsfiler. Løsepengebrevet hevder at angriperne brukte krypteringsalgoritmene AES-256 og RSA-2048 for å låse offerets informasjon. Selv om slike påstander er vanlige blant ransomware-operatører, er det overordnede målet det samme: å gjøre data utilgjengelige uten en tilsvarende dekrypteringsnøkkel.

Løsepengebrevet informerer ofrene om at den eneste måten å gjenopprette filene deres på er å kjøpe et dekrypteringsverktøy fra angriperne. I stedet for å spesifisere et fast løsepengebeløp, leder de kriminelle ofrene til en Tor-basert portal og oppgir påloggingsinformasjon bestående av brukernavn og passord. Denne tilnærmingen lar angriperne forhandle om betalinger individuelt og potensielt justere løsepengekrav basert på den oppfattede verdien av offerorganisasjonen.

Kan krypterte filer gjenopprettes?

Det er ofte ekstremt vanskelig å gjenopprette filer kryptert av ransomware uten tilgang til angripernes dekrypteringsmekanisme. I sjeldne tilfeller oppdager cybersikkerhetsforskere implementeringsfeil eller kryptografiske svakheter som gjør det mulig å lage gratis dekrypteringsprogrammer. Slike tilfeller er imidlertid uvanlige, og ofre som er rammet av godt designet ransomware står ofte overfor begrensede gjenopprettingsmuligheter.

Å betale løsepenger anses generelt som en høyrisikobeslutning. Nettkriminelle er ikke forpliktet til å tilby et fungerende dekrypteringsverktøy etter å ha mottatt betaling. Mange ofre har opplevd situasjoner der midler har blitt overført, men gjenopprettingsverktøy aldri ble levert, eller de leverte verktøyene ikke klarte å gjenopprette data. Følgelig kan betaling føre til ytterligere økonomisk tap uten at det er garantert filgjenoppretting.

Infeksjonsvektorer og angrepsteknikker

Mørtel kan nå ofre gjennom flere angrepsmetoder som ofte brukes i ransomware-kampanjer. Phishing er fortsatt en av de vanligste infeksjonsvektorene. Angripere distribuerer e-poster som inneholder skadelige vedlegg, for eksempel komprimerte arkiver, kjørbare filer eller Microsoft Office-dokumenter med innebygde skadelige makroer. Når disse filene åpnes, kan de starte ransomware-distribusjonsprosessen.

Ytterligere infeksjonsruter inkluderer trojansk programvare, falske oppdateringsmekanismer, ondsinnede reklamekampanjer, upålitelige nedlastingsportaler og piratkopierte applikasjoner distribuert gjennom uoffisielle kanaler. Disse metodene utnytter brukertillit og utilstrekkelige sikkerhetskontroller for å få tilgang til systemer.

Ved målrettede bedriftsinnbrudd kan trusselaktører ta i bruk mer avanserte teknikker. Angripere prøver ofte å kompromittere RDP-tjenester (Remote Desktop Protocol) gjennom brute-force-angrep mot svake påloggingsinformasjoner. De kan også utnytte uoppdaterte sårbarheter i internettvendte systemer for å få et første fotfeste før de beveger seg sidelengs over nettverket og distribuerer ransomware på flere enheter samtidig.

Reaksjon på en mørtelinfeksjon

Når mørtel er oppdaget, er umiddelbar inneslutning avgjørende. Å fjerne løsepengeviruset fra berørte systemer bidrar til å forhindre ytterligere krypteringsaktivitet og reduserer risikoen for ytterligere skade på tvers av miljøet. Fjerning av skadelig programvare bør imidlertid ikke forveksles med datagjenoppretting. Fjerning av det skadelige programmet gjenoppretter ikke automatisk krypterte filer.

Den mest pålitelige gjenopprettingsmetoden er fortsatt gjenoppretting av rene sikkerhetskopier som ble opprettet før angrepet skjedde. Sikkerhetskopier bør lagres separat fra produksjonssystemer for å forhindre at ransomware krypterer sikkerhetskopieringsarkivene under en hendelse. Organisasjoner som opprettholder sikre, isolerte sikkerhetskopier er vanligvis i en mye sterkere posisjon til å gjenopprette seg etter ransomware-angrep uten å engasjere seg med nettkriminelle.

Bygge sterkt forsvar mot løsepengevirus

Effektiv beskyttelse mot ransomware krever en lagdelt sikkerhetsstrategi som kombinerer teknologi, brukerbevissthet og proaktivt vedlikehold. Organisasjoner bør regelmessig oppdatere operativsystemer, applikasjoner og nettverksenheter for å eliminere sårbarheter som angripere ofte utnytter. Sterke autentiseringspolicyer, spesielt for tjenester for fjerntilgang, kan redusere risikoen for uautorisert tilgang betydelig.

Like viktig er det å utvikle en robust sikkerhetskopieringsstrategi. Kritiske data bør kopieres til flere steder, inkludert offline eller frakoblet lagring som ikke kan nås fra kompromitterte systemer. Regelmessig testing av sikkerhetskopiering sikrer at gjenopprettingsprosedyrer fungerer som de skal i en nødsituasjon.

Viktige sikkerhetsrutiner inkluderer:

  • Oppretthold hyppige sikkerhetskopier lagret på separate og beskyttede steder.
  • Installere sikkerhetsoppdateringer og oppdateringer så snart de blir tilgjengelige.
  • Bruk av sterke, unike passord og aktivering av flerfaktorautentisering.
  • Begrense unødvendige fjerntilgangstjenester og overvåke påloggingsforsøk.
  • Opplære ansatte i å gjenkjenne phishing-e-poster og mistenkelige vedlegg.
  • Implementering av anerkjente løsninger for endepunktbeskyttelse og nettverksovervåking.

Organisasjoner bør også ta i bruk prinsippet om minste privilegium, der brukerne kun får tilgangen som er nødvendig for rollene deres. Kontinuerlig overvåking, sikkerhetsrevisjoner og planlegging av hendelsesrespons styrker ytterligere motstandskraften mot ransomware-kampanjer som Mortar. En kombinasjon av forebyggende kontroller, raske deteksjonsmuligheter og pålitelige sikkerhetskopieringssystemer er fortsatt det mest effektive forsvaret mot moderne filkrypteringstrusler.

Konklusjon

Mortar Ransomware representerer en alvorlig trussel mot bedriftsnettverk på grunn av dens evne til å kryptere verdifulle data, forstyrre driften og presse ofre til å betale for dekryptering. Ved å legge til unike identifikatorer til krypterte filer og henvise ofrene til en dedikert løsepengeportal, demonstrerer angriperne en strukturert og målrettet tilnærming. Selv om det kan være utfordrende å gjenopprette krypterte filer, kan organisasjoner som prioriterer sterke cybersikkerhetspraksiser, opprettholder isolerte sikkerhetskopier og proaktivt adresserer sårbarheter redusere virkningen av løsepengevirushendelser betydelig og forbedre sin generelle sikkerhetstilstand.

System Messages

The following system messages may be associated with Mortar ransomware:

--------------------------------------------
| What happened to your files?
--------------------------------------------

We breached your corporate network and encrypted the data on your computers. The encrypted data includes documents, databases, photos and more - all were encrypted using a military grade encryption algorithms (AES-256 and RSA-2048). You cannot access those files right now. But don't worry!

You can still get those files back and be up and running again in no time.

---------------------------------------------
| How to contact us to get your files back?
---------------------------------------------

The only way to restore your files is by purchasing a decryption tool loaded with a private key we created specifically for your network.

Once run on an effected computer, the tool will decrypt all encrypted files - and you can resume day-to-day operations, preferably with better cyber security in mind. If you are interested in purchasing the decryption tool contact us at hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion.

!IMPORTANT!
TO RESTORE YOUR FILES CONTACT US VIA TOR BROWSER

WEBSITE: hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion
USERNAME: sid
PASSWORD: 4RcrXfvVksS5ACA

BACKUP LINK TO SUPPORT TEAM: hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion
!!!!!!!!!!!

Trender

Mest sett

Laster inn...