Čierny ransomvér TENGU

Ochrana počítačov, telefónov a firemných sietí pred malvérom už nie je voliteľná. Moderné hrozby dokážu uzamknúť kritické súbory, ukradnúť citlivé informácie, prerušiť prevádzku a spôsobiť vážne finančné škody v priebehu niekoľkých minút. Rodiny ransomvéru, ako napríklad Black TENGU Ransomware, demonštrujú, ako kyberzločinci kombinujú šifrovanie a krádež údajov, aby prinútili obete zaplatiť.

Prehľad hrozieb pre ransomvér Black TENGU

Black TENGU je sofistikovaný kmeň ransomvéru identifikovaný bezpečnostnými výskumníkmi. Po získaní prístupu k napadnutému zariadeniu zašifruje uložené súbory, takže ich už nie je možné normálne otvoriť. Počas procesu šifrovania pridá k postihnutým súborom príponu „.TENGU“. Napríklad súbor s názvom „1.png“ sa zmení na „1.png.TENGU“, zatiaľ čo „2.pdf“ sa premenuje na „2.pdf.TENGU“.

Toto správanie pri premenovávaní je bežným indikátorom aktivity ransomvéru a signalizuje, že pôvodné dáta boli transformované do nečitateľného stavu. Obete potom nemajú prístup k osobným dokumentom, databázam, obrázkom, archívom a iným dôležitým súborom.

Výkupné a tlak na dvojité vydieranie

Black TENGU tiež zverejní výkupné s názvom „_README_TENGU.txt“. Podľa správy útočníci tvrdia, že infiltrovali sieť obete, ukradli dôverné údaje a zašifrovali súbory v celom systéme. V správe sa sľubuje dešifrovací nástroj po zaplatení a uvádza sa, že ukradnuté informácie budú údajne po zaplatení výkupného vymazané.

Správa ďalej varuje obete, aby sa nepokúšali o dešifrovanie alebo samoobnovu pomocou tretej strany, pričom tvrdí, že by to mohlo trvalo poškodiť súbory. Komunikácia smeruje cez e-mailové adresy ako „tengulocker@cyberfear.com“ a „tengunlocker@onionmail.com“ spolu s chatovacím portálom založeným na sieti Tor.

Táto taktika odráža rastúci trend známy ako dvojité vydieranie. Útočníci sa nespoliehajú len na šifrovanie; vyhrážajú sa aj zverejnením ukradnutých údajov, pokiaľ nebudú uhradené. To vytvára dodatočný tlak na organizácie, ktoré nakladajú so záznamami zákazníkov, finančnými dokumentmi alebo chránenými informáciami.

Prečo je platenie výkupného riskantné

Hoci sa obete môžu cítiť v pasci, zaplatenie výkupného so sebou nesie značné riziko. Zločinecké skupiny často dávajú sľuby, ktoré nedodržia. Niektoré obete nikdy nedostanú funkčný dešifrovací nástroj, zatiaľ čo iné sa po prejavení ochoty zaplatiť stanú opäť terčom útokov. Aj keď sú súbory obnovené, ukradnuté údaje môžu byť stále predané, zverejnené alebo uchovávané na účely budúceho vydierania.

Bezpečnejšia cesta obnovy je zvyčajne obnovenie čistých záloh po úplnom odstránení škodlivého softvéru z postihnutých systémov. Tímy pre reakciu na incidenty by mali tiež preskúmať, ako k narušeniu došlo, aby sa predišlo opätovnej infekcii.

Ako sa pravdepodobne šíri čierny TENGU

Podobne ako mnoho iných rodín ransomvéru, aj Black TENGU sa môže spoliehať na viacero infekčných kanálov. Útočníci často používajú klamlivé metódy doručovania, ktoré oklamú používateľov a prinútia ich spustiť škodlivé súbory alebo navštíviť nebezpečné webové stránky.

Medzi bežné distribučné techniky patria:

• Podvodné e-maily obsahujúce škodlivé prílohy alebo odkazy
• Falošné aktualizácie softvéru, podvody technickej podpory a škodlivé reklamy
• Zneužívanie zraniteľností zastaraného alebo neopraveného softvéru
• Pirátsky softvér, cracky, generátory kľúčov a neoficiálne stránky na stiahnutie
• Infikované USB disky, napadnuté webové stránky a siete na zdieľanie peer-to-peer

Dáta škodlivého softvéru sú často maskované ako bežné ZIP archívy, PDF súbory, skripty, dokumenty balíka Office alebo spustiteľné súbory.

Najlepšie bezpečnostné postupy na posilnenie obrany pred škodlivým softvérom

Silná prevencia kombinuje technológiu, povedomie a disciplinovanú údržbu. Systémy by mali vždy používať renomovaný bezpečnostný softvér so zapnutou ochranou v reálnom čase. Operačné systémy, prehliadače, pluginy a obchodné aplikácie musia byť rýchlo opravené, pretože známe zraniteľnosti sa často používajú na nasadenie ransomvéru.

Spoľahlivé zálohy sú jednou z najúčinnejších obranných opatrení. Dôležité údaje by sa mali pravidelne kopírovať do offline alebo cloudových úložísk, ktoré nemôže malvér priamo zmeniť. Obnova zo záloh by sa mala tiež testovať, aby bola možná aj v prípade skutočnej núdze.

Opatrnosť pri e-mailoch je naďalej nevyhnutná. Neočakávané prílohy, urgentné žiadosti o platbu, správy o obnovení hesla a neznáme odkazy by sa mali brať s podozrením. Organizácie majú veľký úžitok zo školení zameraných na zvyšovanie povedomia používateľov, ktoré učia zamestnancov, ako fungujú phishingové útoky.

Rovnako dôležitá je kontrola prístupu. Používatelia by sa mali vyhýbať práci s oprávneniami správcu, pokiaľ to nie je nevyhnutné, a nástroje vzdialeného prístupu, ako napríklad RDP, by mali byť zabezpečené silnými heslami a viacfaktorovým overovaním. Segmentácia siete môže znížiť schopnosť ransomvéru šíriť sa na viacero zariadení.

Medzi odporúčané ochranné návyky patria:

• Udržiavajte všetok softvér aktualizovaný a odstráňte nepodporované aplikácie
• Udržiavajte viacero záloh vrátane aspoň jednej offline kópie
• Používajte silné heslá a povoľte viacfaktorové overovanie

• Nainštalujte dôveryhodnú ochranu koncových bodov a bránu firewall

• Vyhnite sa pirátskemu softvéru a neovereným sťahovaniam

Záverečné hodnotenie

Ransomvér Black TENGU predstavuje nebezpečnú modernú hrozbu, ktorá kombinuje šifrovanie súborov, vydieranie a možnú krádež údajov. Použitie premenovaných súborov s príponou „.TENGU“ a špecializovanej žiadosti o výkupné ukazuje na zámernú kampaň navrhnutú tak, aby rýchlo vyvinula tlak na obete. Najsilnejšou obranou je proaktívne zabezpečenie: opravené systémy, opatrní používatelia, silná autentifikácia, segmentované siete a spoľahlivé zálohy. Organizácie a jednotlivci, ktorí sa vopred pripravia, sú oveľa odolnejší, keď udrie ransomvér.