AntiHacker Ransomware

Ochrana osobných a obchodných údajov pred modernými hrozbami škodlivého softvéru už nie je voliteľná, ale operačná nevyhnutnosť. Prevádzkovatelia ransomvéru neustále zdokonaľujú svoje taktiky, nástroje a schémy sociálneho inžinierstva, aby maximalizovali narušenie a vynútili si platby. Pravidelným cieľom sú aj menšie organizácie a domáci používatelia a obnova môže byť bez prípravy náročná alebo nemožná. AntiHacker Ransomware, člen rodiny Xorist, je presne takouto hrozbou.

PREHĽAD HROZIEK A PÔVOD

AntiHacker je škodlivý program, ktorý objavili výskumníci v oblasti informačnej bezpečnosti a zaradil ho do rodiny ransomvérov Xorist. Hrozby založené na Xoriste sú zvyčajne vytvorené z frameworku, ktorý si útočníci môžu prispôsobiť, zmeniť zobrazenú správu o výkupnom, príponu súboru, jazykové prvky a ďalšie parametre. AntiHacker sa riadi známym postupom Xoristu: šifruje údaje obete a potom požaduje platbu výmenou za údajný dešifrovací kľúč.

SPRÁVANIE A OZNAČOVANIE ŠIFROVANIA SÚBOROV

Keď AntiHacker napadne systém, prehľadá údaje prístupné používateľovi na lokálnych diskoch a potenciálne aj v namapovaných sieťových umiestneniach. Cieľom je napadnúť širokú škálu typov súborov, dokumenty, obrázky, archívy, multimediálne súbory a ďalšie cenné úložiská údajov. Každá šifrovaná položka sa premenuje pridaním reťazca „.antihacker2017“ na koniec pôvodného názvu súboru. Napríklad súbor pôvodne s názvom „1.png“ sa stane „1.png.antihacker2017“; „2.pdf“ sa stane „2.pdf.antihacker2017“; a tento vzorec sa opakuje vo všetkých spracovaných súboroch. Pridaná prípona slúži na dva účely: vizuálne signalizuje obeti napadnutie a pomáha ransomvéru identifikovať, ktoré položky už spracoval.

VÝKUPNÉ POZNÁMKY, VYSKRAŤOVACIE OKNÁ A SPRÁVY NA TAPETE

Po dokončení šifrovacej rutiny AntiHacker upraví tapetu pracovnej plochy obete a zobrazí výzvu na výkupné v dvoch paralelných formátoch: kontextové okno a textový súbor s názvom „КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt“ (rusky „AKO DEŠIFROVAŤ SÚBORY“). Obsah správy zobrazený vo kontextovom okne a textovom súbore je rovnaký. Variant s tapetou však obsahuje dodatočný jazyk sociálneho inžinierstva, údajné odôvodnenie, že k útoku došlo, pretože používateľ navštívil konkrétne webové stránky zamerané na dospelých alebo nelegálne webové stránky. Tento zahanbujúci uhol pohľadu je navrhnutý tak, aby donútil obete zaplatiť rýchlo a potichu.

ZVLÁŠTNOSŤ KÓDOVANIA ZNAKOV

V systémoch, ktoré nepoužívajú cyrilickú znakovú sadu, sa text výzvy na výkupné zobrazený v kontextovom okne môže javiť ako nečitateľný nezmysel. Obeť môže preto vidieť poškodené okno so správou, ale stále nájsť čitateľné pokyny v stratenom textovom súbore. Útočníci často prehliadajú podrobnosti o lokalizácii; obrancovia môžu takéto artefakty použiť na pomoc pri zoskupovaní súvisiacich incidentov.

MECHANIKY NÁTLAKU: HLAVNÉ LIMITY VSTUPU A HROZBY

V pokynoch na výkupné sa uvádza, že obete musia kontaktovať útočníkov, aby získali dešifrovací kľúč. Taktiež sa v nich stanovuje prísne obmedzenie: povolených je iba 50 pokusov o zadanie kľúča, po ktorých sa v správe uvádza, že zašifrované údaje budú natrvalo stratené. Ďalšie upozornenia uvádzajú, že použitie bezpečnostných nástrojov, reštartovanie alebo vypnutie zariadenia spôsobí, že súbory budú nedešifrovateľné. Tieto zastrašovacie taktiky sú bežné v príručkách o ransomvéri a ich cieľom je odradiť používateľov od vyhľadania odbornej pomoci alebo pokusu o bezpečné postupy nápravy.

PREČO JE ZAPLATENIE VÝKUPNÉHO RISKANTNÉ

Neexistuje žiadna záruka, že kyberzločinci stojaci za AntiHackerom (alebo akýmkoľvek ransomvérom) po zaplatení dodajú funkčné dešifrovacie riešenie. Obete, ktoré zaplatia, často nedostanú nič, dostanú pokazený kľúč alebo sa stanú terčom opakovaného vydierania. Platba tiež financuje prebiehajúce kriminálne operácie a motivuje k ďalším útokom. Rozumným postojom je vyhnúť sa plateniu, kedykoľvek je to možné, a zamerať sa na cesty obnovy, ktoré máte pod kontrolou.

REALITA ZDRAVENIA

Odstránenie AntiHackeru z infikovaného systému môže zastaviť ďalšie šifrovanie súborov, ale nedešifruje už uzamknuté dáta. Najspoľahlivejšou cestou k obnoveniu je obnovenie čistých kópií postihnutých súborov zo záloh, ktoré boli izolované, offline alebo inak mimo dosahu škodlivého softvéru. Ak neexistujú žiadne životaschopné zálohy, možnosti obnovy dát sú veľmi obmedzené.

PRIMÁRNE INFEKČNÉ VEKTORY

Autori ransomvéru sa spoliehajú na rovnaký široký distribučný ekosystém, ktorý poháňa iné kategórie malvéru. AntiHacker nie je výnimkou. Útočníci často maskujú užitočné dáta ako legitímny softvér alebo ich spájajú s cracknutými alebo pirátskymi programami, dokumentmi alebo inštalátormi. Už len otvorenie nastraženého súboru môže spustiť reťazec sťahovania alebo vykonávania.

• Lákadlá typu phishing a sociálne inžinierstvo doručované e-mailom, súkromnými správami alebo priamymi správami so škodlivými prílohami alebo vloženými odkazmi.
• Sťahovanie z neznámych alebo klamlivých webových stránok iniciované z napadnutých alebo škodlivých webových stránok bez jasného súhlasu používateľa.
• Zavádzače trójskych koní a zadné vrátka, ktoré po vložení nenápadne načítajú a spúšťajú ransomvér.
• Nedôveryhodné zdroje sťahovania, ako sú stránky s bezplatným softvérom, stránky tretích strán a siete na zdieľanie súborov typu peer-to-peer (P2P).
• Online podvody a kampane so škodlivou reklamou, ktoré presmerujú používateľov na exploit kity alebo falošné užitočné dáta.
• Nelegálne nástroje na aktiváciu softvéru („cracky“ / keygeny) a falošné aktualizácie softvéru, ktoré inštalujú malvér namiesto legitímnych záplat.

PREHĽAD OBRANNEJ STRATÉGIE

Účinná ochrana pred ransomvérom zahŕňa ľudí, procesy a technológie. Nemôžete sa spoliehať na jedinú ochrannú kontrolu; predpokladajte, že aspoň jedna vrstva zlyhá. Kombinujte informovanosť používateľov, zosilnené konfigurácie, dôkladné opravy, robustné postupy zálohovania a silné možnosti detekcie/reakcie, aby ste znížili pravdepodobnosť aj dopad prieniku v štýle AntiHacker.

• Uchovávajte zálohy dôležitých údajov.
• Udržiavajte operačné systémy, aplikácie a bezpečnostné nástroje plne aktualizované; včas nainštalujte záplaty, najmä pre služby vzdialeného prístupu a zdieľania súborov.
• Používajte renomované riešenia proti malvéru / detekcii a reakcii na koncové body (EDR) s detekciou behaviorálneho ransomvéru a funkciami automatického vrátenia zmien, kde sú podporované.
• Vynucujte si práva používateľov s najnižšími oprávneniami; vykonávajte denné úlohy pod účtami, ktoré nie sú administrátorskými účtami, a obmedzte prístup na zápis do zdieľaných úložísk údajov.
• Segmentujte siete a obmedzte laterálny pohyb; izolujte úložiská záloh a kritické servery na samostatných úrovniach prístupu.
• Vyžadovať viacfaktorové overovanie (MFA) pre vzdialené prihlásenia, privilegované akcie a konzoly na správu záloh.

ZÁVER

AntiHacker Ransomware ilustruje, ako útočníci prispôsobujú rodiny súprav, ako je Xorist, na vytváranie účinných, regionálne cielených vydieračských schém. Jeho šifrovanie dát, označovanie názvov súborov, viacjazyčné artefakty výkupného a donucovacie správy sú navrhnuté tak, aby viedli k platbám. Najsilnejším protiopatrením však zostáva príprava: izolované zálohy, vrstvená obrana, informovaní používatelia a disciplinovaný plán reakcie. Organizácie a jednotlivci, ktorí investujú do týchto ochranných opatrení, môžu premeniť potenciálne katastrofickú udalosť ransomvéru na obnoviteľný incident.