Программа-вымогатель Moneybird
Иранская хакерская группа Agrius, также известная как Pink Sandstorm и ранее Americium, недавно разработала новый вид программы-вымогателя под названием Moneybird. Было замечено, что это угрожающее вредоносное ПО нацелено конкретно на израильские организации, что свидетельствует о значительном изменении тактики Agrius.
Оглавление
Киберпреступники расширяют свой угрожающий арсенал
Агриус имеет опыт проведения разрушительных атак с очисткой данных против израильских организаций, часто маскируя их под инциденты с программами-вымогателями. Появление Moneybird, написанного на C++, демонстрирует растущий опыт группы и постоянное стремление к созданию новых киберинструментов.
Деятельность группы можно проследить по крайней мере до декабря 2020 года, когда Агриус участвовал в пресечении попыток вторжения в алмазную промышленность в Южной Африке, Израиле и Гонконге. Ранее Agrius использовал программу-вымогатель под названием Apostle, основанную на платформе .NET, и ее преемника под названием Fantasy. Тем не менее, Moneybird представляет собой значительный прогресс для группы, поскольку демонстрирует свои развивающиеся кибер-возможности с помощью языка программирования C++.
Субъекты угроз используют уязвимости безопасности для получения доступа
Методология атаки, используемая программой-вымогателем Moneybird, демонстрирует высокий уровень сложности, начиная с эксплуатации уязвимостей, присутствующих в веб-серверах, подключенных к Интернету. Эта первоначальная эксплуатация предоставляет злоумышленникам важную точку входа в сеть целевой организации, чему способствует развертывание веб-оболочки ASPXSpy.
Оказавшись внутри скомпрометированной сети, веб-оболочка служит каналом связи, по которому злоумышленники могут запускать ряд хорошо известных инструментов, специально предназначенных для проведения обширной разведки среды жертвы. Эти инструменты позволяют злоумышленникам перемещаться по сети, собирать ценные учетные данные и эксфильтровать конфиденциальные данные.
Программа-вымогатель Moneybird оснащена расширенными возможностями шифрования
После начальной фазы проникновения и разведки программа-вымогатель Moneybird активируется на скомпрометированном хосте. Эта программа-вымогатель разработана с особым упором на шифрование конфиденциальных файлов, расположенных в папке «F:\User Shares». После запуска программа-вымогатель развертывает записку с требованием выкупа, оказывая огромное давление на жертв, чтобы они установили контакт в течение 24 часов, предупреждая их о потенциальной публичной утечке их украденных данных.
Программа-вымогатель Moneybird использует очень сложную методологию шифрования, используя AES-256 с GCM (режим Галуа/счетчик). Этот передовой метод шифрования генерирует уникальные ключи шифрования для каждого файла и добавляет зашифрованные метаданные в конце. Точное нацеливание и надежное шифрование, реализованное Moneybird, делают задачу восстановления данных и расшифровки файлов чрезвычайно сложной, если не почти невозможной, в большинстве случаев.
Важные меры безопасности для предотвращения атаки программ-вымогателей
Эффективные меры безопасности могут быть реализованы для защиты устройств и данных от атак программ-вымогателей. Во-первых, важно поддерживать актуальное и надежное программное обеспечение безопасности. Регулярное обновление программ защиты от вредоносных программ, а также включение автоматических обновлений помогают защититься от новейших угроз.
Внедрение надежных и уникальных паролей для всех учетных записей — еще один важный шаг. Это включает в себя использование комбинации букв, цифр и символов, а также отказ от распространенных и легко угадываемых паролей. Кроме того, включение многофакторной аутентификации добавляет дополнительный уровень безопасности, требуя дополнительных шагов проверки для доступа к учетным записям.
Регулярное резервное копирование соответствующих данных жизненно важно для смягчения последствий атаки программ-вымогателей. Создание автономных резервных копий или использование решений для облачного хранения гарантирует, что важные файлы могут быть восстановлены в случае шифрования или потери.
Очень важно соблюдать осторожность при работе в Интернете и работе с электронной почтой. Пользователи должны проявлять скептицизм при переходе по подозрительным ссылкам или загрузке файлов из ненадежных источников. Крайне важно проявлять бдительность и избегать посещения потенциально опасных веб-сайтов или взаимодействия с подозрительными электронными письмами, поскольку они могут содержать полезную нагрузку программ-вымогателей.
Самообразование и информирование о последних угрозах кибербезопасности и методах атак очень полезно. Распознавание распространенных тактик социальной инженерии, используемых при фишинговых атаках, и знание признаков потенциального заражения программами-вымогателями может помочь пользователям принять упреждающие меры для предотвращения таких атак и реагирования на них.
Регулярное обновление операционных систем, приложений и микропрограмм — еще один важный аспект обеспечения надежной безопасности. Патчи и обновления часто содержат исправления безопасности, которые устраняют уязвимости, которые могут быть использованы программами-вымогателями и другими вредоносными программами.
Выполняя комбинацию этих мер безопасности, пользователи могут усилить защиту своих устройств и данных от разрушительного воздействия программ-вымогателей.
