Oprogramowanie antyhakerskie Ransomware

Ochrona danych osobowych i firmowych przed współczesnym złośliwym oprogramowaniem nie jest już opcjonalna, lecz operacyjną koniecznością. Operatorzy ransomware nieustannie udoskonalają swoje taktyki, narzędzia i metody socjotechniczne, aby zmaksymalizować zakłócenia i wyłudzić płatności. Nawet mniejsze organizacje i użytkownicy domowi padają regularnie ofiarą ataków, a odzyskanie danych może być trudne lub wręcz niemożliwe bez odpowiedniego przygotowania. AntiHacker Ransomware, członek rodziny Xorist, jest właśnie takim zagrożeniem.

PRZEGLĄD ZAGROŻEŃ I POCHODZENIE

AntiHacker to złośliwy program odkryty przez badaczy bezpieczeństwa informacji i sklasyfikowany w rodzinie ransomware Xorist. Zagrożenia oparte na Xorist są zazwyczaj tworzone w oparciu o zestaw narzędzi, który atakujący mogą modyfikować, zmieniając wyświetlaną wiadomość o okupie, rozszerzenie pliku, elementy językowe i inne parametry. AntiHacker działa zgodnie ze znaną procedurą Xorist: szyfruje dane ofiary, a następnie żąda zapłaty w zamian za rzekomy klucz deszyfrujący.

ZACHOWANIE I OZNACZANIE SZYFROWANIA PLIKÓW

Po zainfekowaniu systemu AntiHacker przeszukuje dane dostępne dla użytkownika na dyskach lokalnych, a także potencjalnie w mapowanych lokalizacjach sieciowych. Atakowany jest szeroki zakres typów plików: dokumenty, obrazy, archiwa, pliki multimedialne i inne cenne magazyny danych. Nazwa każdego zaszyfrowanego elementu jest zmieniana poprzez dodanie ciągu „.antihacker2017” na końcu oryginalnej nazwy pliku. Na przykład, plik pierwotnie nazwany „1.png” staje się „1.png.antihacker2017”; „2.pdf” staje się „2.pdf.antihacker2017”; a ten schemat powtarza się we wszystkich przetworzonych plikach. Dodane rozszerzenie służy dwóm celom: wizualnie sygnalizuje ofierze zainfekowanie i pomaga ransomware zidentyfikować, które elementy zostały już przetworzone.

LISTY O OKUP, WYSKAKUJĄCE OKIENKA I WIADOMOŚCI W FORMACIE TAPET

Po zakończeniu szyfrowania, AntiHacker modyfikuje tapetę pulpitu ofiary i umieszcza żądanie okupu w dwóch równoległych formatach: wyskakującego okienka i pliku tekstowego o nazwie „КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt” (po rosyjsku „JAK ODSZYFROWAĆ PLIKI”). Treść wiadomości w wyskakującym okienku i pliku tekstowym jest taka sama. Jednak wersja tapety zawiera dodatkowe sformułowania socjotechniczne, rzekomo uzasadniające atak, ponieważ użytkownik odwiedził określone strony internetowe dla dorosłych lub nielegalne. Ten sposób zawstydzania ma na celu wywarcie presji na ofiary, aby szybko i dyskretnie zapłaciły okup.

DZIWNOŚĆ KODOWANIA ZNAKÓW

W systemach, które nie obsługują cyrylicy, tekst żądania okupu wyświetlany w wyskakującym okienku może wydawać się nieczytelny. Ofiary mogą zatem zobaczyć uszkodzone okno wiadomości, ale nadal znaleźć czytelne instrukcje w przechwyconym pliku tekstowym. Atakujący często pomijają szczegóły lokalizacji; obrońcy mogą wykorzystać takie artefakty, aby pomóc w grupowaniu powiązanych incydentów.

MECHANIKA PRZYMUSÓW: KLUCZOWE LIMITY WEJŚCIA I ROSZCZENIA DOTYCZĄCE ZAGROŻEŃ

Instrukcje dotyczące okupu stanowią, że ofiary muszą skontaktować się z atakującymi, aby uzyskać klucz deszyfrujący. Nakładają one również wysokie ograniczenie: dozwolone jest tylko 50 prób wprowadzenia klucza, po których wiadomość informuje, że zaszyfrowane dane zostaną trwale utracone. Dodatkowe ostrzeżenia twierdzą, że użycie narzędzi bezpieczeństwa, ponowne uruchomienie lub wyłączenie komputera uniemożliwi odszyfrowanie plików. Te taktyki zastraszania są powszechne w podręcznikach dotyczących ransomware i mają na celu zniechęcenie użytkowników do szukania profesjonalnej pomocy lub próbowania bezpiecznych procedur naprawczych.

DLACZEGO ZAPŁACENIE OKUPU JEST RYZYKOWNE

Nie ma gwarancji, że cyberprzestępcy stojący za AntiHackerem (lub jakimkolwiek innym ransomware) dostarczą działające rozwiązanie deszyfrujące po dokonaniu płatności. Ofiary, które płacą, często nie otrzymują nic, otrzymują złamany klucz lub stają się celem kolejnych wymuszeń. Płatności finansują również trwające operacje przestępcze i zachęcają do dalszych ataków. Rozsądnym podejściem jest unikanie płacenia, kiedy tylko jest to możliwe, i skupienie się na kontrolowanych przez siebie ścieżkach odzyskiwania danych.

RZECZYWISTOŚĆ POWROTU

Usunięcie programu AntiHacker z zainfekowanego systemu może zatrzymać dalsze szyfrowanie plików, ale nie odszyfrowuje danych, które zostały już zablokowane. Najbardziej niezawodną metodą odzyskiwania danych jest przywrócenie czystych kopii zainfekowanych plików z kopii zapasowych, które były odizolowane, offline lub w inny sposób poza zasięgiem złośliwego oprogramowania. Jeśli nie istnieją żadne działające kopie zapasowe, opcje odzyskiwania danych stają się bardzo ograniczone.

PIERWOTNE WEKTORY ZAKAŻENIA

Twórcy ransomware opierają się na tym samym szerokim ekosystemie dystrybucji, który napędza inne kategorie złośliwego oprogramowania. AntiHacker nie jest wyjątkiem. Atakujący często maskują szkodliwe programy pod postacią legalnego oprogramowania lub dołączają do nich zhakowane lub pirackie programy, dokumenty lub instalatory. Samo otwarcie zainfekowanego pliku może uruchomić łańcuch pobierania lub wykonywania.

• Próby phishingu i socjotechniki są rozsyłane za pośrednictwem poczty elektronicznej, wiadomości prywatnych lub wiadomości bezpośrednich zawierających złośliwe załączniki lub osadzone linki.
• Pobieranie plików w sposób nieautoryzowany lub oszukańczy z zainfekowanych lub złośliwych witryn internetowych bez wyraźnej zgody użytkownika.
• Trojany ładujące i tylne drzwi, które po osadzeniu w systemie po cichu pobierają i uruchamiają oprogramowanie wymuszające okup.
• Niegodne zaufania źródła pobierania, takie jak witryny z darmowym oprogramowaniem, strony hostingowe osób trzecich i sieci udostępniania plików peer-to-peer (P2P).
• Oszustwa internetowe i kampanie reklamowe kierują użytkowników w stronę zestawów exploitów lub szkodliwych ładunków.
• Nielegalne narzędzia do aktywacji oprogramowania („cracki” / keygeny) i fałszywe aktualizacje oprogramowania, które instalują złośliwe oprogramowanie zamiast legalnych poprawek.
• Archiwa (ZIP, RAR itp.), pliki wykonywalne (EXE, RUN itp.), pliki skryptów (np. JavaScript) i formaty dokumentów (PDF, Microsoft Office, OneNote i inne) stanowiące broń służącą do uruchomienia łańcucha infekcji.

PRZEGLĄD STRATEGII OBRONNEJ

Skuteczna ochrona przed ransomware obejmuje ludzi, procesy i technologię. Nie można polegać na pojedynczej kontroli bezpieczeństwa; należy założyć, że przynajmniej jedna warstwa zawiedzie. Połącz świadomość użytkownika, wzmocnione konfiguracje, rygorystyczne stosowanie poprawek, solidne praktyki tworzenia kopii zapasowych oraz silne mechanizmy wykrywania i reagowania, aby zmniejszyć zarówno prawdopodobieństwo, jak i skutki włamania w stylu AntiHacker.

• Utrzymuj kopie zapasowe ważnych danych.
• Dbaj o pełną aktualność systemów operacyjnych, aplikacji i narzędzi zabezpieczających; szybko stosuj poprawki, zwłaszcza w przypadku usług zdalnego dostępu i udostępniania plików.
• Korzystaj z renomowanych rozwiązań do ochrony przed złośliwym oprogramowaniem/wykrywania i reagowania na zagrożenia w punktach końcowych (EDR) z wykrywaniem oprogramowania ransomware na podstawie analizy zachowania i funkcją automatycznego wycofywania zmian, jeśli jest to obsługiwane.
• Wprowadź uprawnienia użytkowników o najmniejszych uprawnieniach, wykonuj codzienne zadania na kontach bez uprawnień administratora i ogranicz dostęp do zapisu współdzielonych magazynów danych.
• Segmentuj sieci i ogranicz ruch boczny; odizoluj repozytoria kopii zapasowych i serwery krytyczne na oddzielnych warstwach dostępu.
• Wymagaj uwierzytelniania wieloskładnikowego (MFA) w przypadku zdalnego logowania, akcji uprzywilejowanych i konsol zarządzania kopiami zapasowymi.

WNIOSEK

AntiHacker Ransomware ilustruje, jak cyberprzestępcy wykorzystują rodziny narzędzi, takie jak Xorist, do tworzenia skutecznych, ukierunkowanych regionalnie schematów wymuszeń. Szyfrowanie danych, tagowanie nazw plików, wielojęzyczne artefakty żądania okupu i wiadomości z przymusem – wszystko to zostało zaprojektowane tak, aby generować płatności. Jednak najsilniejszym środkiem zaradczym pozostaje przygotowanie: izolowane kopie zapasowe, wielowarstwowe zabezpieczenia, świadomi użytkownicy i zdyscyplinowany plan reagowania. Organizacje i osoby, które zainwestują w te zabezpieczenia, mogą przekształcić potencjalnie katastrofalne zdarzenie ransomware w incydent, który można odzyskać.