Mortar Ransomware

Programele malware continuă să fie una dintre cele mai semnificative amenințări cibernetice cu care se confruntă atât organizațiile, cât și indivizii. Atacurile ransomware moderne pot perturba operațiunile de afaceri, pot cauza pierderi financiare grave și pot compromite informații sensibile în câteva ore. Pe măsură ce grupurile ransomware devin din ce în ce mai sofisticate, menținerea unor controale de securitate puternice și a unor apărări proactive este esențială pentru protejarea datelor valoroase și asigurarea continuității operaționale.

Ransomware-ul Mortar pe scurt

Ransomware-ul Mortar este o tulpină de malware care criptează fișiere, identificată de cercetătorii în domeniul securității cibernetice. Amenințarea este concepută în principal pentru a viza mediile corporative, unde atacatorii încearcă să maximizeze perturbările operaționale și să crească presiunea asupra victimelor pentru a plăti o răscumpărare. Odată implementat într-o rețea compromisă, Mortar criptează fișierele și lasă în urmă o notă de răscumpărare denumită conform identificatorului unic al victimei, urmând formatul „README-[ID-ul victimei].txt”.

O caracteristică distinctivă a acestui ransomware este comportamentul său de redenumire a fișierelor. În timpul criptării, Mortar adaugă un ID unic de victimă fiecărui fișier afectat. De exemplu, un fișier denumit inițial „1.png” poate deveni „1.png.4RcrXfvVksS5ACA”, în timp ce un document precum „2.pdf” ar putea fi transformat în „2.pdf.4RcrXfvVksS5ACA”. Același identificator este apoi utilizat în numele fișierului cu nota de răscumpărare, creând o asociere directă între victimă și atac.

Procesul de criptare și cererile de răscumpărare

După ce se infiltrează într-o rețea, Mortar criptează o gamă largă de date, inclusiv documente, baze de date, fotografii și alte fișiere comerciale valoroase. Nota de răscumpărare susține că atacatorii au folosit algoritmi de criptare AES-256 și RSA-2048 pentru a bloca informațiile victimei. Deși astfel de afirmații sunt frecvente în rândul operatorilor de ransomware, scopul general rămâne același: a face datele inaccesibile fără o cheie de decriptare corespunzătoare.

Nota de răscumpărare informează victimele că singura modalitate de a-și recupera fișierele este prin achiziționarea unui instrument de decriptare de la atacatori. În loc să specifice o sumă fixă de răscumpărare, infractorii direcționează victimele către un portal bazat pe Tor și furnizează acreditări de conectare constând într-un nume de utilizator și o parolă. Această abordare permite atacatorilor să negocieze plățile individual și, eventual, să ajusteze cererile de răscumpărare în funcție de valoarea percepută de organizația victimă.

Pot fi recuperate fișierele criptate?

Recuperarea fișierelor criptate de ransomware este adesea extrem de dificilă fără acces la mecanismul de decriptare al atacatorilor. În situații rare, cercetătorii în domeniul securității cibernetice descoperă greșeli de implementare sau slăbiciuni criptografice care permit crearea de decriptori liberi. Cu toate acestea, astfel de cazuri sunt mai puțin frecvente, iar victimele afectate de ransomware bine conceput se confruntă frecvent cu opțiuni de recuperare limitate.

Plata răscumpărării este, în general, considerată o decizie cu risc ridicat. Infractorii cibernetici nu au nicio obligație de a furniza un instrument de decriptare funcțional după ce primesc plata. Multe victime s-au confruntat cu situații în care fondurile au fost transferate, dar instrumentele de recuperare nu au fost livrate niciodată sau instrumentele furnizate nu au reușit să restaureze datele cu succes. Prin urmare, plata poate duce la pierderi financiare suplimentare fără a garanta recuperarea fișierelor.

Vectori de infecție și tehnici de atac

Mortar poate ajunge la victime prin mai multe metode de atac utilizate în mod obișnuit în campaniile ransomware. Phishing-ul rămâne unul dintre cei mai răspândiți vectori de infecție. Atacatorii distribuie e-mailuri care conțin atașamente rău intenționate, cum ar fi arhive comprimate, fișiere executabile sau documente Microsoft Office încorporate cu macrocomenzi dăunătoare. Odată deschise, aceste fișiere pot iniția procesul de implementare a ransomware-ului.

Alte rute de infectare includ software-ul troianizat, mecanismele de actualizare false, campaniile publicitare rău intenționate, portalurile de descărcare nesigure și aplicațiile piratate distribuite prin canale neoficiale. Aceste metode exploatează încrederea utilizatorilor și controalele de securitate inadecvate pentru a obține acces la sisteme.

În cazul intruziunilor corporative țintite, actorii amenințători pot adopta tehnici mai avansate. Atacatorii încearcă frecvent să compromită serviciile Remote Desktop Protocol (RDP) prin atacuri de tip „brute force” împotriva unor acreditări slabe. De asemenea, aceștia pot exploata vulnerabilități necorectate în sistemele conectate la internet pentru a obține un punct de sprijin inițial înainte de a se deplasa lateral în rețea și a implementa ransomware pe mai multe dispozitive simultan.

Reacția la o infecție cu mortar

Odată ce Mortar a fost detectat, izolarea imediată a atacului este esențială. Eliminarea ransomware-ului din sistemele afectate ajută la prevenirea activității ulterioare de criptare și reduce riscul de daune suplimentare în mediu. Cu toate acestea, eliminarea programelor malware nu trebuie confundată cu recuperarea datelor. Eliminarea programului rău intenționat nu restaurează automat fișierele criptate.

Cea mai fiabilă metodă de recuperare rămâne restaurarea copiilor de rezervă curate, create înainte de producerea atacului. Copiile de rezervă ar trebui stocate separat de sistemele de producție pentru a împiedica criptarea depozitelor de copii de rezervă de către ransomware în timpul unui incident. Organizațiile care mențin copii de rezervă securizate și izolate sunt de obicei într-o poziție mult mai bună pentru a se recupera după atacuri ransomware fără a interacționa cu infractorii cibernetici.

Construirea unor apărări puternice împotriva ransomware-ului

O protecție eficientă împotriva ransomware necesită o strategie de securitate stratificată care combină tehnologia, conștientizarea utilizatorilor și mentenanța proactivă. Organizațiile ar trebui să actualizeze periodic sistemele de operare, aplicațiile și dispozitivele de rețea pentru a elimina vulnerabilitățile pe care atacatorii le exploatează în mod obișnuit. Politicile de autentificare puternică, în special pentru serviciile de acces la distanță, pot reduce semnificativ riscul de acces neautorizat.

La fel de importantă este dezvoltarea unei strategii robuste de backup. Datele critice ar trebui copiate în mai multe locații, inclusiv în spații de stocare offline sau deconectate care nu pot fi accesate din sistemele compromise. Testarea regulată a backup-urilor asigură că procedurile de restaurare funcționează corect în timpul unei situații de urgență.

Printre practicile cheie de securitate se numără:

• Menținerea unor copii de rezervă frecvente, stocate în locații separate și protejate.
• Aplicarea actualizărilor și patch-urilor de securitate imediat ce acestea devin disponibile.
• Utilizarea unor parole puternice și unice și activarea autentificării multi-factor.
• Restricționarea serviciilor de acces la distanță inutile și monitorizarea încercărilor de conectare.
• Instruirea angajaților pentru a recunoaște e-mailurile de phishing și atașamentele suspecte.
• Implementarea unor soluții reputate de protecție a endpoint-urilor și monitorizare a rețelei.

Organizațiile ar trebui să adopte, de asemenea, principiul privilegiilor minime, acordând utilizatorilor doar accesul necesar rolurilor lor. Monitorizarea continuă, auditurile de securitate și planificarea răspunsului la incidente consolidează și mai mult rezistența împotriva campaniilor ransomware precum Mortar. O combinație de controale preventive, capacități de detectare rapidă și sisteme de backup fiabile rămâne cea mai eficientă apărare împotriva amenințărilor moderne de criptare a fișierelor.

Concluzie

Ransomware-ul Mortar reprezintă o amenințare serioasă pentru rețelele corporative datorită capacității sale de a cripta date valoroase, de a perturba operațiunile și de a presa victimele să plătească pentru decriptare. Prin adăugarea de identificatori unici fișierelor criptate și direcționarea victimelor către un portal dedicat pentru recompensă, atacatorii demonstrează o abordare structurată și țintită. Deși recuperarea fișierelor criptate poate fi o provocare, organizațiile care prioritizează practici solide de securitate cibernetică, mențin copii de rezervă izolate și abordează proactiv vulnerabilitățile pot reduce substanțial impactul incidentelor ransomware și își pot îmbunătăți postura generală de securitate.