Moneybird Ransomware
Grupul iranian de hackeri Agrius, cunoscut și sub numele de Pink Sandstorm și fost Americium, a dezvoltat recent o nouă tulpină de ransomware numită Moneybird. Acest malware amenințător a fost observat că vizează în mod specific organizațiile israeliene, ceea ce înseamnă o schimbare semnificativă a tacticii lui Agrius.
Cuprins
Infractorii cibernetici își extind arsenalul amenințător
Agrius are o istorie de a desfășura atacuri distructive de ștergere a datelor împotriva entităților israeliene, deghându-le adesea în incidente de tip ransomware. Apariția Moneybird, codificat în C++, demonstrează experiența în creștere a grupului și angajamentul continuu de a crea noi instrumente cibernetice.
Activitățile grupului pot fi urmărite cel puțin din decembrie 2020, când Agrius a fost implicat în tentativele de perturbare a intruziunii care vizează industriile diamantelor din Africa de Sud, Israel și Hong Kong. Anterior, Agrius a folosit un program de ștergere, devenit ransomware, numit Apostle, bazat pe framework-ul .NET, și succesorul său numit Fantasy. Cu toate acestea, Moneybird reprezintă un progres semnificativ pentru grup, deoarece își prezintă capacitățile cibernetice în evoluție prin limbajul său de programare C++.
Actorii amenințărilor exploatează vulnerabilitățile de securitate pentru a obține acces
Metodologia de atac folosită de Moneybird Ransomware demonstrează un nivel ridicat de sofisticare, începând cu exploatarea vulnerabilităților prezente în serverele Web orientate către Internet. Această exploatare inițială oferă atacatorilor un punct de intrare crucial în rețeaua organizației vizate, facilitat de implementarea unui shell Web ASPXSpy.
Odată ajuns în rețeaua compromisă, shell-ul Web servește drept canal de comunicare pentru atacatori pentru a executa o serie de instrumente bine-cunoscute special adaptate pentru a efectua recunoașteri extinse a mediului victimei. Aceste instrumente permit atacatorilor să se deplaseze lateral în cadrul rețelei, să adune acreditări valoroase și să exfiltreze date sensibile.
Moneybird Ransomware este echipat cu capabilități avansate de criptare
În urma fazei inițiale de infiltrare și recunoaștere, Moneybird Ransomware este activat pe gazda compromisă. Acest ransomware este conceput cu un accent special pe criptarea fișierelor sensibile situate în folderul „F:\Partajări utilizator”. La execuție, ransomware-ul lansează o notă de răscumpărare, punând o presiune imensă asupra victimelor pentru a stabili contactul într-un interval de timp de 24 de ore, avertizându-le despre potențiala scurgere publică a datelor lor furate.
Moneybird Ransomware folosește o metodologie de criptare extrem de sofisticată, utilizând AES-256 cu GCM (Galois/Counter Mode). Această tehnică avansată de criptare generează chei de criptare unice pentru fiecare fișier și adaugă metadate criptate la sfârșit. Direcția de precizie și criptarea robustă implementate de Moneybird fac ca sarcina de restaurare a datelor și decriptare a fișierelor să fie extrem de provocatoare, dacă nu aproape imposibilă, în majoritatea cazurilor.
Măsuri de securitate importante pentru a opri un atac ransomware
Pot fi implementate măsuri eficiente de securitate pentru a proteja dispozitivele și datele împotriva atacurilor ransomware. În primul rând, menținerea unui software de securitate la zi și robust este esențială. Actualizarea regulată a programelor anti-malware, împreună cu activarea actualizărilor automate, ajută la protejarea împotriva celor mai recente amenințări.
Implementarea parolelor puternice și unice pentru toate conturile este un alt pas crucial. Aceasta include utilizarea unei combinații de litere, cifre și simboluri, precum și evitarea parolelor comune și ușor de ghicit. În plus, activarea autentificării cu mai mulți factori adaugă un nivel suplimentar de securitate prin necesitatea unor pași suplimentari de verificare pentru a accesa conturile.
Copierea de rezervă regulată a datelor relevante este vitală pentru a atenua impactul unui atac ransomware. Crearea de copii de rezervă offline sau utilizarea soluțiilor de stocare în cloud asigură recuperarea fișierelor critice în caz de criptare sau pierdere.
Este esențial să fii precaut în timp ce navighezi pe internet și interacționezi cu e-mailurile. Utilizatorii ar trebui să fie sceptic atunci când fac clic pe linkuri suspecte sau descarcă fișiere din surse nesigure. Este esențial să fiți vigilenți și să evitați să vizitați site-uri web potențial dăunătoare sau să interacționați cu e-mailuri suspecte, deoarece acestea pot conține încărcături utile de ransomware.
Educarea și informarea cu privire la cele mai recente amenințări de securitate cibernetică și tehnici de atac este extrem de benefică. Recunoașterea tacticilor comune de inginerie socială utilizate în atacurile de phishing și conștientizarea semnelor unei potențiale infecții cu ransomware poate ajuta utilizatorii să ia măsuri proactive pentru a preveni și a răspunde la astfel de atacuri.
Actualizarea regulată a sistemelor de operare, a aplicațiilor și a firmware-ului este un alt aspect vital al menținerii securității puternice. Patch-urile și actualizările includ adesea remedieri de securitate care abordează vulnerabilitățile care ar putea fi exploatate de ransomware și alte programe malware.
Prin realizarea unei combinații a acestor măsuri de securitate, utilizatorii își pot îmbunătăți protecția dispozitivelor și a datelor împotriva impactului devastator al atacurilor ransomware.
