Ransomvér RestoreMyData

Kampane so škodlivým softvérom sa neustále vyvíjajú a ransomvér zostáva jednou z najškodlivejších hrozieb pre používateľov a organizácie všetkých veľkostí. Jediný úspešný útok môže zastaviť prevádzku, poškodiť zálohy, spustiť vydieranie únikom údajov a vynútiť si zdĺhavé a nákladné procesy obnovy. Proaktívna obrana a disciplinovaná reakcia zohrávajú rozhodujúcu úlohu pri obmedzovaní dosahu útoku v čase, a nie v prípade, že k útoku dôjde.

Čo je ransomvér RestoreMyData?

RestoreMyData uzamyká údaje obetí a vymáha za ne výkupné. Tento kmeň ransomvéru bol identifikovaný počas prebiehajúcich vyšetrovaní zameraných na lov hrozieb. Podobne ako iné moderné rodiny šifruje súbory a požaduje platbu za dešifrovací nástroj, pričom zároveň tvrdí, že odcudzí citlivé obchodné údaje, aby vyvinul tlak na obete prostredníctvom verejných únikov.

Ako sa útok odvíja

Po získaní opory, často prostredníctvom sociálneho inžinierstva, škodlivého sťahovania alebo sekundárneho malvéru, ransomvér spustí svoju šifrovaciu rutinu. Každý napadnutý názov súboru je upravený pridaním „.restoremydata.pw“. Napríklad „1.png“ sa stane „1.png.restoremydata.pw“ a „2.pdf“ sa stane „2.pdf.restoremydata.pw“. Po dokončení šifrovania malvér odošle správu s výzvou s názvom „HOW_TO_RECOVERY_FILES.txt“. Správa je jasne určená pre firmy, a nie pre domácich používateľov, a varuje, že operácie sú ohrozené, súbory sú neprístupné bez pomoci útočníkov a ukradnuté firemné údaje budú zverejnené, ak sa požiadavky ignorujú.

Vnútri výkupného listu: Taktika a tlak

Správa tvrdí, že iba útočníci majú jedinečný dešifrovací kľúč a že dešifrovacie programy použité pre iné obete nebudú fungovať. Upozorňuje na úpravu šifrovaných súborov, aby sa predišlo nezvratnému poškodeniu. Ako „dôkaz dešifrovania“ operátori ponúkajú obnovenie jedného testovacieho súboru, zvyčajne do 2 MB, a nie kritického aktíva, ako je databáza, záloha alebo veľká tabuľka. Ide o bežnú techniku sociálneho inžinierstva, ktorá má vybudovať dôveryhodnosť a prinútiť obete platiť.

Zaplatenie výkupného: Riziká a realita

Vo väčšine prípadov nie je dešifrovanie súborov uzamknutých moderným ransomvérom možné bez kľúčov útočníka. Platba však nezaručuje obnovenie; obete často hlásia, že po prevode finančných prostriedkov nedostali nič užitočné. Platba tiež podporuje zločinecký ekosystém. Obhájiteľným postupom je vyhnúť sa platbe, zamerať sa na odstránenie a obnoviť z čistých záloh.

Perzistencia, laterálny pohyb a šírenie

Okrem počiatočného ohrozenia sa niektoré hrozby pokúšajú o laterálny presun cez lokálne siete, zneužívajú administrátorské nástroje, zbierajú prihlasovacie údaje a šíria sa prostredníctvom vymeniteľných médií (USB disky, externé disky). Predpokladá sa, že RestoreMyData je schopný využívať podobné techniky, aké sa vyskytujú v ekosystéme, čo znamená, že rýchlosť obmedzenia je po objavení indikátorov kritická.

Počiatočný prístup a doručovacie kanály

Prevádzkovatelia ransomvéru sa spoliehajú na osvedčené distribučné cesty: phishingové e-maily a správy s prílohami alebo odkazmi s návnadou, trójske kone a zavádzacie programy, ktoré neskôr ukladajú užitočné dáta, automatické sťahovanie z napadnutých stránok, portály s voľným softvérom a P2P siete s prebalenými inštalátormi, malware, falošné aktualizácie a „crack“ nástroje. Škodlivý obsah je často maskovaný ako archívy (ZIP/RAR), spustiteľné súbory, PDF, dokumenty balíka Office alebo OneNote, JavaScript a ďalšie; vykonávanie sa začína v momente, keď používateľ otvorí alebo spustí súbor.

Stratégia eradikácie a obnovy

Okamžite izolujte postihnuté systémy od siete, aby ste zastavili šírenie šifrovania a únik údajov. Vykonajte dôkladné odstránenie pomocou renomovaných a plne aktualizovaných bezpečnostných nástrojov. Uvedomte si, že odstránenie zastaví ďalšie poškodenie, ale nedešifruje už zablokované údaje. Obnova by mala prebiehať zo záloh, ktoré ešte neboli postihnuté.

Zrátané a podčiarknuté

Ransomvér RestoreMyData je príkladom dnešnej metódy dvojitého vydierania: rýchle šifrovanie, jedinečné kľúče obete, žiadosti o výkupné pod vysokým tlakom a hrozby úniku ukradnutých údajov. Vyhnite sa plateniu, kedykoľvek je to možné, rozhodne odstráňte malvér a spoliehajte sa na odolné, pravidelne testované zálohy pre obnovu. Organizácie, ktoré kombinujú viacvrstvovú prevenciu, prísnu kontrolu privilégií, odolné zálohy a precvičenú reakciu na incidenty, výrazne zvyšujú svoje šance na odolanie tomuto druhu útoku.