Theft вымогателей

Современная среда угроз беспощадна. Киберпреступники постоянно совершенствуют свои инструменты, чтобы эксплуатировать неподготовленных пользователей. Среди наиболее разрушительных угроз — программы-вымогатели, вредоносное ПО, шифрующее данные и вымогающее у жертв деньги. Один из таких новых вариантов известен как Theft Ransomware, который уже был замечен в разрушительном воздействии на ничего не подозревающие системы.

Что делает кражу программ-вымогателей опасной

Theft Ransomware — это новый вид вирусов-вымогателей, связанный с печально известным семейством Dharma, известным своими атаками как на отдельных лиц, так и на организации. После проникновения на устройство вредоносная программа шифрует файлы и переименовывает их, добавляя:

• Уникальный идентификатор жертвы
• Адрес электронной почты злоумышленников
• Расширение «.theft»

Например, «1.png» становится «1.png.id-9ECFA84E.[datatheft@tuta.io].theft».

Затем жертвам показывают записки с требованием выкупа в виде текстовых файлов (info.txt) и всплывающего окна. Текст записки лаконичен и содержит только контактную информацию, тогда как всплывающее окно содержит более подробную информацию, включая заверения в возможности восстановления данных при уплате выкупа. Злоумышленники даже предлагают «доказательство расшифровки», позволяя бесплатно восстановить три небольших, некритичных файла.

Преступники усиливают давление, утверждая, что украли конфиденциальные бизнес-данные, и угрожают раскрыть их, если в оплате будет отказано.

Технические характеристики угрозы

Как и другие варианты на базе Dharma, Theft Ransomware не блокирует всю систему, а вместо этого шифрует локальные и общие сетевые файлы. Вредоносная программа активно:

• Завершает процессы, связанные с используемыми файлами (базы данных, считыватели и т. д.)
• Копирует себя в путь %LOCALAPPDATA% и регистрирует сохранение с помощью ключей запуска.
• Настраивает себя на автоматический запуск при перезагрузке системы
• Удаляет теневые копии томов, чтобы предотвратить легкое восстановление

Вредоносное ПО также собирает данные геолокации, чтобы определить, следует ли продолжать шифрование, возможно, исключая определенные регионы.

Как распространяется инфекция

Вредоносные программы используют различные тактики проникновения, наиболее распространённые из которых — через слабо защищённые службы RDP (протокол удалённого рабочего стола). Частой точкой проникновения являются атаки методом подбора и атаки по словарю на слабо защищённые учётные записи. Проникнув в систему, вредоносная программа может даже отключать брандмауэры, чтобы облегчить себе работу.

Другие известные каналы распространения включают в себя:

Фишинг и социальная инженерия — вредоносные вложения или ссылки в электронных письмах, личных сообщениях и публикациях.

Трояны и бэкдоры — используются для незаметного внедрения программ-вымогателей.

Вредоносная реклама и скрытые загрузки — запускаются просто при посещении взломанного веб-сайта.

Подозрительные источники программного обеспечения — пиратские инструменты, бесплатные пакеты ПО и поддельные обновления.

Съемные носители и локальные сети — позволяют вредоносному ПО распространяться внутри системы после попадания в нее.

Почему платить выкуп — рискованная ставка

Расшифровать файлы, зашифрованные с помощью Theft, без ключа злоумышленников практически невозможно. Хотя некоторые версии программ-вымогателей содержат уязвимости, угрозы на базе Dharma, как правило, надёжно защищены. Важно отметить, что выплата выкупа не гарантирует выздоровление: многие жертвы остаются ни с чем даже после перевода средств. Хуже того, эти выплаты лишь финансируют дальнейшие преступные действия.

Укрепление защиты от программ-вымогателей

Лучший способ борьбы с программами-вымогателями — это профилактика. Поскольку удаление вредоносного ПО не приводит к автоматическому восстановлению зашифрованных файлов, пользователям следует сосредоточиться на устойчивости и проактивной защите. Ключевые рекомендации, которые должен применять каждый пользователь:

• Регулярное резервное копирование. Сохраняйте копии важных файлов в нескольких безопасных местах, например на автономных дисках и в облачных сервисах, не связанных с зараженной системой.
• Обновление программного обеспечения и систем — применение исправлений для закрытия уязвимостей, используемых программами-вымогателями.
• Используйте надежную аутентификацию — защитите службы RDP с помощью уникальных сложных паролей и включите многофакторную аутентификацию.
• Будьте осторожны с электронными письмами и ссылками. Не открывайте неожиданные вложения и не переходите по неизвестным ссылкам, даже если они кажутся законными.
• Ограничьте административные права — ограничьте привилегии, чтобы снизить влияние потенциального выполнения вредоносного ПО.
• Установите надежные средства безопасности — используйте решения по борьбе с вредоносными программами с функциями защиты от программ-вымогателей.

• Отключите макросы и скрипты. Многие атаки программ-вымогателей осуществляются через документы или скрипты Office.

• Сегментация сетей — предотвращение горизонтального распространения вредоносных программ в бизнес-средах.

Заключительные мысли

Вредоносные программы-вымогатели Theft Ransomware демонстрируют непрерывную эволюцию семейства Dharma и его неизменную роль в глобальных кампаниях по вымогательству. Сочетание шифрования, кражи данных и вымогательства делает его особенно опасным. Поскольку восстановление файлов часто невозможно без резервных копий, единственная действенная защита — это многоуровневая защита, строгие меры кибербезопасности и надежные стратегии восстановления.