Ransomware Moneybird
Iránska hackerská skupina Agrius, známa aj ako Pink Sandstorm a predtým Americium, nedávno vyvinula nový kmeň ransomvéru s názvom Moneybird. Tento hrozivý malvér bol pozorovaný najmä pri zacielení na izraelské organizácie, čo znamená významný posun v taktike Agrius.
Obsah
Kyberzločinci rozširujú svoj hrozivý arzenál
Agrius má za sebou históriu vykonávania deštruktívnych útokov na vymazanie údajov proti izraelským entitám, pričom ich často maskuje ako incidenty ransomvéru. Vznik Moneybird, kódovaného v C++, ukazuje rastúcu odbornosť skupiny a neustály záväzok vytvárať nové kybernetické nástroje.
Aktivity skupiny možno vysledovať minimálne do decembra 2020, kedy sa Agrius podieľal na prerušení pokusov o prienik na diamantový priemysel v Južnej Afrike, Izraeli a Hong Kongu. Predtým Agrius využíval stierač, ktorý sa zmenil na ransomvér s názvom Apostle, založený na frameworku .NET, a jeho nástupcu Fantasy. Moneybird však predstavuje významný pokrok pre skupinu, pretože ukazuje svoje rozvíjajúce sa kybernetické schopnosti prostredníctvom programovacieho jazyka C++.
The Threat Actors využívajú bezpečnostné slabiny na získanie prístupu
Metodika útoku, ktorú používa Moneybird Ransomware, demonštruje vysokú úroveň sofistikovanosti, počnúc využívaním zraniteľností prítomných na webových serveroch pripojených k internetu. Toto počiatočné využitie poskytuje útočníkom kľúčový vstupný bod do siete cieľovej organizácie, uľahčený nasadením webového shellu ASPXSpy.
Keď sa webový shell dostane do ohrozenej siete, slúži ako komunikačný kanál pre útočníkov na spustenie radu známych nástrojov špeciálne prispôsobených na vykonávanie rozsiahleho prieskumu prostredia obete. Tieto nástroje umožňujú útočníkom pohybovať sa laterálne v rámci siete, zhromažďovať cenné poverenia a exfiltrovať citlivé údaje.
Moneybird Ransomware je vybavený pokročilými možnosťami šifrovania
Po počiatočnej fáze infiltrácie a prieskumu sa Moneybird Ransomware aktivuje na napadnutom hostiteľovi. Tento ransomvér je navrhnutý so špecifickým zameraním na šifrovanie citlivých súborov umiestnených v priečinku „F:\User Shares“. Po vykonaní ransomvér nasadí výkupné, čím vytvorí obrovský tlak na obete, aby nadviazali kontakt do 24 hodín a varovali ich pred možným verejným únikom ich ukradnutých údajov.
Moneybird Ransomware využíva vysoko sofistikovanú metodológiu šifrovania využívajúcu AES-256 s GCM (režim Galois/Counter). Táto pokročilá technika šifrovania generuje jedinečné šifrovacie kľúče pre každý súbor a na koniec pridáva zašifrované metadáta. Presné zacielenie a robustné šifrovanie implementované spoločnosťou Moneybird robí vo väčšine prípadov úlohu obnovy údajov a dešifrovania súborov mimoriadne náročným, ak nie takmer nemožným.
Dôležité bezpečnostné opatrenia na zastavenie útoku ransomvéru
Na ochranu zariadení a údajov pred útokmi ransomvéru možno implementovať účinné bezpečnostné opatrenia. Po prvé, udržiavanie aktuálneho a robustného bezpečnostného softvéru je nevyhnutné. Pravidelná aktualizácia antimalvérových programov spolu s povolením automatických aktualizácií pomáha chrániť sa pred najnovšími hrozbami.
Ďalším zásadným krokom je implementácia silných a jedinečných hesiel pre všetky účty. To zahŕňa použitie kombinácie písmen, číslic a symbolov, ako aj vyhýbanie sa bežným a ľahko uhádnuteľným heslám. Povolenie viacfaktorovej autentifikácie navyše pridáva ďalšiu vrstvu zabezpečenia tým, že vyžaduje ďalšie overovacie kroky na prístup k účtom.
Pravidelné zálohovanie relevantných údajov je nevyhnutné na zmiernenie dopadu ransomvérového útoku. Vytváranie offline záloh alebo používanie riešení cloudového úložiska zaisťuje, že dôležité súbory je možné obnoviť v prípade šifrovania alebo straty.
Pri prehliadaní internetu a interakcii s e-mailami je nevyhnutné byť opatrný. Používatelia by mali byť skeptickí pri klikaní na podozrivé odkazy alebo sťahovaní súborov z nedôveryhodných zdrojov. Je dôležité, aby ste boli ostražití a vyhýbali sa návšteve potenciálne škodlivých webových stránok alebo odosielaniu podozrivých e-mailov, pretože môžu obsahovať ransomvér.
Vzdelávať sa a byť informovaný o najnovších hrozbách kybernetickej bezpečnosti a technikách útokov je veľmi prospešné. Rozpoznanie bežných taktík sociálneho inžinierstva používaných pri phishingových útokoch a uvedomenie si príznakov potenciálnej ransomvérovej infekcie môže používateľom pomôcť prijať proaktívne opatrenia na prevenciu a reakciu na takéto útoky.
Pravidelná aktualizácia operačných systémov, aplikácií a firmvéru je ďalším dôležitým aspektom udržiavania silného zabezpečenia. Opravy a aktualizácie často obsahujú bezpečnostné opravy, ktoré riešia slabé miesta, ktoré by mohol zneužiť ransomvér a iný malvér.
Vykonaním kombinácie týchto bezpečnostných opatrení môžu používatelia zvýšiť ochranu svojich zariadení a údajov pred ničivým dopadom ransomvérových útokov.
