AntiHacker Ransomware

Zaščita osebnih in poslovnih podatkov pred sodobnimi grožnjami zlonamerne programske opreme ni več neobvezna, temveč operativna nujnost. Operaterji izsiljevalske programske opreme nenehno izpopolnjujejo svoje taktike, orodja in sheme socialnega inženiringa, da bi kar najbolje izkoristili motnje in izsilili plačila. Tudi manjše organizacije in domači uporabniki so redno tarče napadov, okrevanje pa je lahko brez priprave težavno ali nemogoče. Izsiljevalska programska oprema AntiHacker, član družine Xorist, je prav takšna grožnja.

PREGLED GROZNJ IN POREKLO

AntiHacker je zlonamerni program, ki so ga odkrili raziskovalci informacijske varnosti in ga uvrstili v družino izsiljevalskih programov Xorist. Grožnje, ki temeljijo na Xoristu, so običajno zgrajene iz ogrodja kompleta, ki ga lahko napadalci prilagodijo, tako da spremenijo prikazano sporočilo o odkupnini, končnico datoteke, jezikovne elemente in druge parametre. AntiHacker sledi znanemu Xoristovemu načelu: šifrira podatke o žrtvah in nato zahteva plačilo v zameno za domnevni ključ za dešifriranje.

OBNAŠANJE IN OZNAČEVANJE ŠIFRIRANJ DATOTEK

Ko AntiHacker ogrozi sistem, poišče podatke, do katerih lahko uporabnik dostopa, na lokalnih pogonih in morebitnih preslikanih omrežnih lokacijah. Cilja širok spekter vrst datotek, dokumenti, slike, arhivi, večpredstavnostne datoteke in druge dragocene shrambe podatkov. Vsak šifriran element se preimenuje tako, da se na konec izvirnega imena datoteke doda niz '.antihacker2017'. Na primer, datoteka, prvotno imenovana '1.png', postane '1.png.antihacker2017'; '2.pdf' postane '2.pdf.antihacker2017'; in ta vzorec se ponovi v vseh obdelanih datotekah. Dodana razširitev ima dva namena: vizualno signalizira žrtvi ogroženost in pomaga izsiljevalski programski opremi prepoznati, katere elemente je že obdelala.

OPOMBE O ODKUPNINI, POJAVNA OKNA IN SPOROČILA V OZADJU

Po končanem šifriranju AntiHacker spremeni ozadje namizja žrtve in nanjo odda sporočilo z zahtevo po odkupnini v dveh vzporednih oblikah: pojavno okno in besedilno datoteko z imenom »КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt« (rusko »КАКО DEŠIFRIRATI DATOTEKE«). Vsebina sporočila, prikazana v pojavnem oknu in besedilni datoteki, je enaka. Vendar pa različica ozadja vključuje dodaten jezik socialnega inženiringa, domnevno utemeljitev, da se je napad zgodil, ker je uporabnik obiskal določena spletna mesta za odrasle ali nezakonita spletna mesta. Ta sramotilni pristop je zasnovan tako, da žrtve prisili k hitremu in tihemu plačilu.

HITROST KODIRANJA ZNAKOV

V sistemih, ki ne uporabljajo cirilice, se lahko besedilo odkupnine, prikazano v pojavnem oknu, zdi kot neberljivo blebetanje. Žrtve lahko zato vidijo poškodovano okno s sporočilom, vendar še vedno najdejo berljiva navodila v odstranjeni besedilni datoteki. Napadalci pogosto spregledajo podrobnosti lokalizacije; branilci lahko takšne artefakte uporabijo za pomoč pri združevanju povezanih incidentov.

MEHANIKA PRISILE: KLJUČNE OMEJITVE VSTOPA IN ZAHTEVKI GLEDE GROŽNJ

V navodilih za odkupnino je navedeno, da se morajo žrtve obrniti na napadalce, da bi pridobile ključ za dešifriranje. Prav tako nalagajo omejitev visokega stresa: dovoljenih je le 50 poskusov vnosa ključa, po tem pa sporočilo trdi, da bodo šifrirani podatki trajno izgubljeni. Dodatna opozorila navajajo, da uporaba varnostnih orodij, ponovni zagon ali izklop naprave onemogoči šifriranje datotek. Te taktike strašenja so pogoste v priročnikih za izsiljevalsko programsko opremo in so namenjene odvračanju uporabnikov od iskanja strokovne pomoči ali poskusa varnih postopkov sanacije.

ZAKAJ JE PLAČILO ODKUPNINE TVEGANO

Ni zagotovila, da bodo kibernetski kriminalci, ki stojijo za programom AntiHacker (ali katero koli izsiljevalsko programsko opremo), po plačilu dostavili delujočo rešitev za dešifriranje. Žrtve, ki plačajo, pogosto ne prejmejo ničesar, prejmejo pokvarjen ključ ali postanejo tarče ponovnega izsiljevanja. Plačilo financira tudi tekoče kriminalne operacije in spodbuja nadaljnje napade. Preudarno je, da se plačilu, kadar koli je to mogoče, izognete in se osredotočite na poti okrevanja, ki so pod vašim nadzorom.

REALNOSTI OKREVITVE

Odstranitev programa AntiHacker iz okuženega sistema lahko ustavi nadaljnje šifriranje datotek, vendar ne dešifrira podatkov, ki so že bili zaklenjeni. Najbolj zanesljiva pot do obnovitve je obnovitev čistih kopij prizadetih datotek iz varnostnih kopij, ki so bile izolirane, brez povezave ali kako drugače izven dosega zlonamerne programske opreme. Če ni nobenih ustreznih varnostnih kopij, so možnosti obnovitve podatkov zelo omejene.

PRIMARNI PRENOSILCEV OKUŽB

Avtorji izsiljevalske programske opreme se zanašajo na isti širok distribucijski ekosistem, ki poganja druge kategorije zlonamerne programske opreme. AntiHacker ni izjema. Napadalci pogosto prikrijejo koristne datoteke kot legitimno programsko opremo ali jih združijo s krekiranimi ali piratskimi programi, dokumenti ali namestitvenimi programi. Že samo odpiranje datoteke z zanko lahko sproži verigo prenosa ali izvajanja.

• Vabe za lažno predstavljanje in socialni inženiring, poslane po e-pošti, zasebnih sporočilih ali neposrednih sporočilih z zlonamernimi prilogami ali vdelanimi povezavami.
• Prenosi, ki se izvajajo mimogrede ali zavajajoči prenosi, ki se začnejo z ogroženih ali zlonamernih spletnih mest brez jasnega soglasja uporabnika.
• Trojanski nalagalniki in zadnja vrata, ki po vgradnji tiho pridobijo in zaženejo izsiljevalsko programsko opremo.
• Nezanesljivi viri za prenos, kot so spletna mesta z brezplačno programsko opremo, strani za gostovanje tretjih oseb in omrežja za skupno rabo datotek Peer-to-Peer (P2P).
• Spletne prevare in zlonamerne oglaševalske kampanje, ki uporabnike preusmerjajo k kompletom za izkoriščanje zlonamernih programov ali lažnim koristnim programom.
• Nezakonita orodja za aktivacijo programske opreme ('cracks' / keygens) in lažne posodobitve programske opreme, ki nameščajo zlonamerno programsko opremo namesto legitimnih popravkov.
• Arhivi (ZIP, RAR itd.), izvedljive datoteke (EXE, RUN itd.), skriptne datoteke (npr. JavaScript) in formati dokumentov (PDF, Microsoft Office, OneNote in drugi), uporabljeni kot orožje za sprožitev verige okužb.

PREGLED OBRAMBNE STRATEGIJE

Učinkovita zaščita pred izsiljevalsko programsko opremo združuje ljudi, procese in tehnologijo. Ne morete se zanašati na en sam zaščitni nadzor; predpostavite, da bo vsaj en sloj odpovedal. Združite ozaveščenost uporabnikov, utrjene konfiguracije, strogo nameščanje popravkov, robustne postopke varnostnega kopiranja in močne zmogljivosti zaznavanja/odziva, da zmanjšate verjetnost in vpliv vdora v slogu AntiHacker.

• Vzdržujte varnostne kopije pomembnih podatkov.
• Operacijske sisteme, aplikacije in varnostna orodja redno posodabljajte; pravočasno namestite popravke, zlasti za storitve oddaljenega dostopa in deljenja datotek.
• Uporabljajte ugledne rešitve za zaščito pred zlonamerno programsko opremo / zaznavanje in odzivanje na končne točke (EDR) z zaznavanjem vedenjske izsiljevalske programske opreme in možnostmi samodejnega preklica, kjer je to podprto.
• Uveljavljajte pravice uporabnikov z najmanjšimi privilegiji; vsakodnevna opravila izvajajte z neskrbniškimi računi in omejite dostop do pisanja v skupne shrambe podatkov.
• Segmentirajte omrežja in omejite lateralno gibanje; izolirajte repozitorije varnostnih kopij in kritične strežnike na ločenih dostopnih ravneh.
• Za oddaljene prijave, privilegirana dejanja in konzole za upravljanje varnostnih kopij zahtevajte večfaktorsko preverjanje pristnosti (MFA).

ZAKLJUČEK

Izsiljevalska programska oprema AntiHacker ponazarja, kako akterji grožnje prilagajajo družine kompletov, kot je Xorist, za ustvarjanje močnih, regionalno usmerjenih izsiljevalskih shem. Šifriranje podatkov, označevanje imen datotek, večjezični artefakti obvestil o odkupnini in prisilna sporočila so zasnovani tako, da spodbujajo plačila. Vendar pa najmočnejši protiukrep ostaja priprava: izolirane varnostne kopije, večplastna obramba, obveščeni uporabniki in discipliniran načrt odzivanja. Organizacije in posamezniki, ki vlagajo v te zaščitne ukrepe, lahko potencialno katastrofalen dogodek izsiljevalske programske opreme spremenijo v incident, ki ga je mogoče popraviti.