Moneybird Ransomware
Iranska hekerska skupina Agrius, znana tudi kot Pink Sandstorm in prej Americium, je nedavno razvila novo vrsto izsiljevalske programske opreme, imenovano Moneybird. Opazili so, da ta grozeča zlonamerna programska oprema cilja posebej na izraelske organizacije, kar pomeni pomemben premik v Agriusovi taktiki.
Kazalo
Kibernetski kriminalci širijo svoj nevarni arzenal
Agrius ima zgodovino izvajanja uničujočih napadov za brisanje podatkov na izraelske subjekte, ki jih pogosto prikriva kot incidente z izsiljevalsko programsko opremo. Pojav Moneybirda, kodiranega v C++, prikazuje rastoče strokovno znanje skupine in stalno predanost ustvarjanju novih kibernetskih orodij.
Dejavnostim skupine je mogoče slediti vsaj do decembra 2020, ko je Agrius sodeloval pri preprečevanju poskusov vdorov, usmerjenih v industrije diamantov v Južni Afriki, Izraelu in Hongkongu. Pred tem je Agrius uporabljal izsiljevalsko programsko opremo, imenovano Apostle, ki je temeljila na ogrodju .NET, in njenega naslednika z imenom Fantasy. Vendar pa Moneybird predstavlja pomemben napredek za skupino, saj prikazuje svoje razvijajoče se kibernetske zmogljivosti prek svojega programskega jezika C++.
Akterji groženj izkoriščajo varnostne ranljivosti za pridobitev dostopa
Metodologija napada, ki jo uporablja izsiljevalska programska oprema Moneybird, dokazuje visoko raven sofisticiranosti, začenši z izkoriščanjem ranljivosti v spletnih strežnikih, usmerjenih v internet. To začetno izkoriščanje napadalcem omogoči ključno vstopno točko v omrežje ciljne organizacije, ki jo olajša uvedba spletne lupine ASPXSpy.
Ko so v ogroženem omrežju, spletna lupina služi kot komunikacijski kanal za napadalce, da izvedejo vrsto dobro znanih orodij, posebej prilagojenih za izvajanje obsežnega izvidovanja okolja žrtve. Ta orodja napadalcem omogočajo bočno premikanje znotraj omrežja, zbiranje dragocenih poverilnic in izločanje občutljivih podatkov.
Moneybird Ransomware je opremljen z naprednimi zmogljivostmi šifriranja
Po začetni fazi infiltracije in izvidovanja se na ogroženem gostitelju aktivira izsiljevalska programska oprema Moneybird. Ta izsiljevalska programska oprema je zasnovana s posebnim poudarkom na šifriranju občutljivih datotek, ki se nahajajo v mapi »F:\User Shares«. Po izvršitvi izsiljevalska programska oprema sproži obvestilo o odkupnini, s čimer povzroči izjemen pritisk na žrtve, da vzpostavijo stik v 24-urnem časovnem okviru, in jih opozori na morebitno javno uhajanje njihovih ukradenih podatkov.
Izsiljevalska programska oprema Moneybird uporablja zelo sofisticirano metodologijo šifriranja, ki uporablja AES-256 z GCM (Galois/Counter Mode). Ta napredna tehnika šifriranja ustvari edinstvene šifrirne ključe za vsako datoteko in na koncu doda šifrirane metapodatke. Zaradi natančnega ciljanja in robustnega šifriranja, ki ga izvaja Moneybird, je obnovitev podatkov in dešifriranje datotek v večini primerov izjemno zahtevna, če ne skoraj nemogoča.
Pomembni varnostni ukrepi za zaustavitev napada izsiljevalske programske opreme
Za zaščito naprav in podatkov pred napadi izsiljevalske programske opreme je mogoče izvesti učinkovite varnostne ukrepe. Prvič, nujno je vzdrževanje posodobljene in robustne varnostne programske opreme. Redno posodabljanje programov proti zlonamerni programski opremi skupaj z omogočanjem samodejnih posodobitev pomaga pri zaščiti pred najnovejšimi grožnjami.
Uvedba močnih in edinstvenih gesel za vse račune je še en ključni korak. To vključuje uporabo kombinacije črk, številk in simbolov ter izogibanje pogostim in zlahka uganljivim geslom. Poleg tega omogočanje večfaktorske avtentikacije doda dodatno raven varnosti, saj zahteva dodatne korake preverjanja za dostop do računov.
Redno varnostno kopiranje ustreznih podatkov je bistvenega pomena za ublažitev vpliva napada izsiljevalske programske opreme. Ustvarjanje varnostnih kopij brez povezave ali uporaba rešitev za shranjevanje v oblaku zagotavlja, da je kritične datoteke mogoče obnoviti v primeru šifriranja ali izgube.
Bistvenega pomena je biti previden med brskanjem po internetu in interakcijo z e-pošto. Uporabniki bi morali biti skeptični, ko klikajo na sumljive povezave ali prenašajo datoteke iz nezaupljivih virov. Bistvenega pomena je, da ste pozorni in se izogibate obiskovanju potencialno škodljivih spletnih mest ali delu s sumljivo e-pošto, saj lahko vsebujejo izsiljevalsko programsko opremo.
Izobraževanje in obveščanje o najnovejših grožnjah kibernetski varnosti in tehnikah napadov je zelo koristno. Prepoznavanje pogostih taktik socialnega inženiringa, ki se uporabljajo pri napadih z lažnim predstavljanjem, in zavedanje o znakih morebitne okužbe z izsiljevalsko programsko opremo lahko uporabnikom pomaga pri sprejemanju proaktivnih ukrepov za preprečevanje in odzivanje na takšne napade.
Redno posodabljanje operacijskih sistemov, aplikacij in vdelane programske opreme je še en pomemben vidik vzdrževanja močne varnosti. Popravki in posodobitve pogosto vključujejo varnostne popravke, ki obravnavajo ranljivosti, ki bi jih lahko izkoristila izsiljevalska in druga zlonamerna programska oprema.
Z izvedbo kombinacije teh varnostnih ukrepov lahko uporabniki izboljšajo zaščito svojih naprav in podatkov pred uničujočim vplivom napadov izsiljevalske programske opreme.
