Oprogramowanie ransomware Moneybird
Irańska grupa hakerska Agrius, znana również jako Pink Sandstorm, a wcześniej Americium, opracowała ostatnio nową odmianę oprogramowania ransomware o nazwie Moneybird. Zaobserwowano, że to groźne złośliwe oprogramowanie atakuje organizacje izraelskie, co oznacza znaczącą zmianę w taktyce Agriusa.
Spis treści
Cyberprzestępcy poszerzają swój groźny arsenał
Agrius ma historię przeprowadzania destrukcyjnych ataków wymazujących dane na izraelskie podmioty, często podszywając się pod incydenty związane z oprogramowaniem ransomware. Pojawienie się Moneybird, napisanego w języku C++, pokazuje rosnącą wiedzę grupy i ciągłe zaangażowanie w tworzenie nowych narzędzi cybernetycznych.
Działania grupy można prześledzić co najmniej od grudnia 2020 r., kiedy Agrius był zaangażowany w zakłócanie prób włamań wymierzonych w przemysł diamentowy w Afryce Południowej, Izraelu i Hongkongu. Wcześniej Agrius wykorzystywał oprogramowanie ransomware zmieniające się w wycieraczki o nazwie Apostle, oparte na platformie .NET i jego następcę o nazwie Fantasy. Jednak Moneybird stanowi znaczący postęp dla grupy, ponieważ prezentuje swoje ewoluujące możliwości cybernetyczne za pomocą języka programowania C++.
Aktorzy zagrożeń wykorzystują luki w zabezpieczeniach, aby uzyskać dostęp
Metodologia ataku zastosowana przez Moneybird Ransomware wykazuje wysoki poziom zaawansowania, zaczynając od wykorzystania luk w zabezpieczeniach serwerów sieciowych z dostępem do Internetu. Ta wstępna eksploatacja zapewnia atakującym kluczowy punkt wejścia do sieci atakowanej organizacji, ułatwiony dzięki wdrożeniu powłoki ASPXSpy Web.
Po dostaniu się do zaatakowanej sieci, powłoka sieciowa służy jako kanał komunikacji dla atakujących w celu wykonania szeregu dobrze znanych narzędzi specjalnie dostosowanych do przeprowadzania szeroko zakrojonego rekonesansu środowiska ofiary. Narzędzia te umożliwiają atakującym poruszanie się po sieci, gromadzenie cennych danych uwierzytelniających i eksfiltrację poufnych danych.
Oprogramowanie ransomware Moneybird jest wyposażone w zaawansowane funkcje szyfrowania
Po początkowej fazie infiltracji i rekonesansu na zainfekowanym hoście aktywowane jest oprogramowanie Moneybird Ransomware. To ransomware zostało zaprojektowane ze szczególnym naciskiem na szyfrowanie poufnych plików znajdujących się w folderze „F:\User Shares". Po wykonaniu ransomware wysyła żądanie okupu, wywierając ogromną presję na ofiary, aby nawiązały kontakt w ciągu 24 godzin, ostrzegając je przed potencjalnym publicznym wyciekiem ich skradzionych danych.
Moneybird Ransomware wykorzystuje wysoce wyrafinowaną metodologię szyfrowania, wykorzystując AES-256 z GCM (tryb Galois/Counter). Ta zaawansowana technika szyfrowania generuje unikalne klucze szyfrujące dla każdego pliku i dołącza na końcu zaszyfrowane metadane. Precyzyjne targetowanie i solidne szyfrowanie zastosowane przez Moneybird sprawiają, że zadanie przywracania danych i deszyfrowania plików jest niezwykle trudne, jeśli nie prawie niemożliwe, w większości przypadków.
Ważne środki bezpieczeństwa w celu powstrzymania ataku ransomware
W celu ochrony urządzeń i danych przed atakami ransomware można wdrożyć skuteczne środki bezpieczeństwa. Po pierwsze, niezbędne jest utrzymywanie aktualnego i niezawodnego oprogramowania zabezpieczającego. Regularne aktualizowanie programów chroniących przed złośliwym oprogramowaniem wraz z włączaniem automatycznych aktualizacji pomaga chronić przed najnowszymi zagrożeniami.
Wdrożenie silnych i unikalnych haseł do wszystkich kont to kolejny ważny krok. Obejmuje to używanie kombinacji liter, cyfr i symboli, a także unikanie powszechnych i łatwych do odgadnięcia haseł. Ponadto włączenie uwierzytelniania wieloskładnikowego dodaje dodatkową warstwę bezpieczeństwa, wymagając dodatkowych kroków weryfikacyjnych w celu uzyskania dostępu do kont.
Regularne tworzenie kopii zapasowych odpowiednich danych ma kluczowe znaczenie dla złagodzenia skutków ataku ransomware. Tworzenie kopii zapasowych w trybie offline lub korzystanie z rozwiązań do przechowywania danych w chmurze zapewnia możliwość odzyskania krytycznych plików w przypadku ich zaszyfrowania lub utraty.
Zachowanie ostrożności podczas przeglądania Internetu i interakcji z wiadomościami e-mail jest niezbędne. Użytkownicy powinni zachować sceptycyzm podczas klikania podejrzanych łączy lub pobierania plików z niezaufanych źródeł. Bardzo ważne jest, aby zachować czujność i unikać odwiedzania potencjalnie szkodliwych stron internetowych lub zajmowania się podejrzanymi wiadomościami e-mail, ponieważ mogą one zawierać ładunki ransomware.
Kształcenie się i bycie na bieżąco z najnowszymi zagrożeniami cyberbezpieczeństwa i technikami ataków jest bardzo korzystne. Rozpoznanie typowych taktyk inżynierii społecznej stosowanych w atakach typu phishing oraz świadomość oznak potencjalnej infekcji ransomware może pomóc użytkownikom w podjęciu proaktywnych działań w celu zapobiegania takim atakom i reagowania na nie.
Regularne aktualizowanie systemów operacyjnych, aplikacji i oprogramowania układowego to kolejny ważny aspekt utrzymania silnego bezpieczeństwa. Łatki i aktualizacje często zawierają poprawki zabezpieczeń, które usuwają luki w zabezpieczeniach, które mogą zostać wykorzystane przez oprogramowanie ransomware i inne złośliwe oprogramowanie.
Stosując kombinację tych środków bezpieczeństwa, użytkownicy mogą zwiększyć ochronę swoich urządzeń i danych przed niszczycielskimi skutkami ataków ransomware.
