Ransomvér DeadLock

Moderné kampane s ransomvérom sú vytvorené tak, aby premenili vaše osobné alebo organizačné údaje na páku. Po zašifrovaní kritických súborov majú útočníci všetky karty v rukách, pokiaľ ste sa na to vopred nepripravili. Silná bezpečnostná hygiena, viacvrstvová obrana a odolné stratégie zálohovania dramaticky znižujú pravdepodobnosť, že jediná škodlivá príloha, prelomený inštalátor alebo neoprávnené stiahnutie povedie k narušeniu podnikania alebo trvalej strate údajov. DeadLock Ransomware je dobrým príkladom toho, prečo sú tieto základy dôležité.

Čo odlišuje DeadLock

DeadLock je rodina ransomvéru šifrujúceho súbory, ktorá označuje každú obeť jedinečným identifikátorom. Počas útoku skomprimuje používateľské údaje a premenuje každý zašifrovaný súbor pridaním ID obete a prípony „.dlock“ k pôvodnému názvu súboru. Napríklad: „1.png“ sa zmení na „1.png.F8C6A8.dlock“ a „2.pdf“ sa zmení na „2.pdf.F8C6A8.dlock“. Toto ID sa používa počas celého procesu vydierania na sledovanie obete a prepojenie platieb s dešifrovacími kľúčmi. DeadLock tiež odošle žiadosť o výkupné, ktorej názov súboru obsahuje rovnaký identifikátor (napr. „READ ME.F8C6A8.txt“) a zmení tapetu plochy, aby zdôraznil, že systém bol napadnutý.

Vnútri výkupného listu

V správe sa uvádza niekoľko kľúčových bodov, ktoré majú usmerniť ďalšie kroky obete. Tvrdí sa v nej, že šifrované súbory nemožno obnoviť bez „jedinečného dešifrovacieho kľúča“, ktorý vlastnia iba útočníci. Obetiam sa odporúča nainštalovať si program Session Messenger zameraný na ochranu súkromia a kontaktovať ich pomocou poskytnutého ID relácie (opäť mapovaného späť na identifikátor každej obete vložený do názvov súborov). Útočníci požiadajú obeť, aby na overenie poslala jeden šifrovaný súbor a „osobný kľúč“ (jej jedinečné ID). Ide o bežnú taktiku, ktorej cieľom je vybudovať dôveru dešifrovaním neškodnej vzorky.

Platobné a nátlakové taktiky

Prevádzkovatelia DeadLocku požadujú kryptomenu, konkrétne Bitcoin alebo Monero. Sľubujú, že po zaplatení dodajú funkčný dešifrovací program. Rovnako ako pri väčšine operácií s ransomvérom, neexistuje žiadna vynútiteľná záruka. Poznámka tiež využíva strach na odrádzanie od nezávislých pokusov o obnovu: varuje obete, aby nepremenovávali šifrované súbory a neskúšali dešifrovacie nástroje tretích strán, pričom tvrdí, že takéto akcie by mohli natrvalo poškodiť dáta alebo zvýšiť cenu obnovy. Tieto varovania sú čiastočne technické (nesprávna manipulácia môže obnovu skutočne skomplikovať) a čiastočne psychologický tlak.

Kontrola reality dešifrovania

Skúsenosti s ransomvérom vo všeobecnosti a vlastné správy operátorov podporujú tvrdú pravdu: vo väčšine prípadov nie je možné dešifrovať súbory poškodené DeadLockom bez spolupráce a nástrojov útočníkov. Zostávajú teda dve realistické cesty obnovy: (1) funkčné zálohy, ktoré boli offline, mimo pracoviska, s verziami alebo inak neboli v čase útoku prístupné malvéru; alebo (2) zaplatenie výkupného a nádej, že zločinci dohodu dodržia. Platenie je riskantné: útočníci môžu zmiznúť, dodať nefunkčný dešifrovací program alebo použiť platbu ako signál, že ste ľahkou obeťou budúceho vydierania. Vždy, keď je to možné, sa namiesto platby výkupného spoliehajte na nepoškodené zálohy.

Prečo je dôležité úplné odstránenie

Aj po dokončení šifrovania je ponechanie ransomvéru v systéme nebezpečné. Zvyšné komponenty môžu znova zašifrovať novovytvorené súbory, získať prihlasovacie údaje, otvoriť zadné vrátka alebo sa pokúsiť o laterálny pohyb v rámci lokálnej siete. Odstránenie ransomvéru, podporené skenovaním koncových bodov, kontrolou pamäte a kontrolou naplánovaných úloh, položiek pri spustení a radičov domény, je kľúčové pre prevenciu opakovaného poškodenia.

Bežné vektory infekcie DeadLock

Útočníci potrebujú počiatočnú oporu. Kampane s ransomvérom sa spájajú s viacerými distribučnými kanálmi, ktoré sa živia dôverou používateľov, ich zvedavosťou a skratkami na znižovanie nákladov:

• Pirátsky alebo „cracknuty“ komerčný softvér vrátane generátorov kľúčov a nástrojov na obídenie licencií, ktoré tajne inštalujú malvér.
• Softvérové cracky, keygeny a neoficiálne aktivátory stiahnuté z warez alebo torrent stránok.
• Škodlivé e-mailové prílohy: nastražené dokumenty programu Word (často s podporou makier), súbory PDF, ZIP archívy, súbory skriptov alebo spustiteľné dáta maskované ako faktúry, oznámenia o dodaní alebo urgentné formuláre HR.
• Škodlivé reklamy (malvertising), ktoré presmerujú používateľov na exploit kity alebo falošné stránky na stiahnutie.
• Platformy na zdieľanie medzi používateľmi a centrá sťahovania tretích strán, ktoré prebaľujú inštalačné súbory so skrytými dátami.
• Vymeniteľné médiá (napr. infikované USB disky), ktoré sa automaticky spúšťajú alebo lákajú používateľov k spusteniu kontaminovaných súborov.
• Falošné portály technickej podpory, ktoré nútia používateľov sťahovať „opravy“ alebo „aktualizácie“, ktoré v skutočnosti obsahujú zavádzací súbor ransomvéru.
• Napadnuté legitímne webové stránky, ktoré boli nainštalované sťahovacími súbormi typu drive-by-by alebo vloženými skriptmi, ktoré doručujú užitočné zaťaženie.

Najlepšie bezpečnostné postupy na posilnenie vašej obrany

Vrstvené zabezpečenie výrazne znižuje dosah ransomvéru. Nižšie sú uvedené prioritné obranné kroky, ktoré pomáhajú zabrániť úspechu DeadLocku a podobných hrozieb:

• Udržiavajte spoľahlivé offline zálohy kritických údajov.
• Okamžite aktualizujte operačné systémy, aplikácie a firmvér, najmä exponované služby a balíky produktivity, ktoré sú náchylné na zneužitie makro alebo exploitmi.
• Používajte renomovanú ochranu koncových bodov/EDR s detekciou ransomvéru na základe správania a automatickou izoláciou.
• Vynucujte používateľské účty s najnižšími oprávneniami; vypnite lokálneho správcu, ak nie je potrebný; oddeľte prihlasovacie údaje správcu od tých, ktoré sa používajú na každodenné používanie.
• Obmedzte vykonávanie makier, interpretov skriptov a nepodpísaných binárnych súborov prostredníctvom skupinovej politiky, zoznamu povolených aplikácií a kontrolovaného prístupu k priečinkom.
• Nasaďte filtrovanie zabezpečenia e-mailov: prílohy v sandboxe, kontrolujte odkazy a označujte podozrivé typy súborov alebo falošné domény odosielateľov.
• Pred pripojením vypnite automatické spúšťanie na vymeniteľných médiách a skenujte zariadenia USB.
• Vyžadovať viacfaktorové overovanie (MFA) pre vzdialený prístup, administrátorské konzoly a rozhrania správy záloh.

Dlhodobé lekcie

DeadLock posilňuje opakujúcu sa tému naprieč rodinami ransomvéru: útočníci nepotrebujú špičkové exploity, ak koncoví používatelia bežne sťahujú cracknuté nástroje, otvárajú neoverené prílohy alebo prehliadajú nedôveryhodné reklamné siete. Základné bezpečnostné techniky, disciplína pri opravách, riadenie prístupu, monitorované zálohy a informovanosť používateľov premenia potenciálnu krízu na udalosť, ktorú je možné zvládnuť. Investujte do týchto obranných opatrení teraz; náklady sú oveľa nižšie ako výkupné zaplatené pod tlakom.

Záverečné myšlienky

Odolnosť voči ransomvéru sa buduje dlho predtým, ako útok zasiahne vašu obrazovku. Pochopením fungovania systému DeadLock a implementáciou viacvrstvových preventívnych a obnovovacích kontrol sa postavíte do pozície, aby ste odolali tejto a podobným hrozbám. Zostaňte skeptickí voči všetkému, čo ste si zámerne nevyhľadali alebo neoverili. Vaša ostražitosť je prvou a často najlepšou obrannou líniou.