Popust za več licenc
Podjetje o grožnjah Ransomware Izsiljevalska programska oprema Mortar

Izsiljevalska programska oprema Mortar

Do leta Mezo leta Ransomware
Prevedi v:

Zlonamerna programska oprema je še vedno ena najpomembnejših groženj kibernetske varnosti, s katerimi se soočajo tako organizacije kot posamezniki. Sodobni napadi izsiljevalske programske opreme lahko v nekaj urah motijo poslovne operacije, povzročijo hude finančne izgube in ogrozijo občutljive podatke. Ker skupine za izsiljevalsko programsko opremo postajajo vse bolj dovršene, je vzdrževanje močnih varnostnih kontrol in proaktivne obrambe bistvenega pomena za zaščito dragocenih podatkov in zagotavljanje neprekinjenega delovanja.

Izsiljevalska programska oprema Mortar na prvi pogled

Izsiljevalska programska oprema Mortar je zlonamerna programska oprema za šifriranje datotek, ki so jo odkrili raziskovalci kibernetske varnosti. Grožnja je zasnovana predvsem za ciljanje poslovnih okolij, kjer napadalci poskušajo čim bolj povečati motnje v delovanju in povečati pritisk na žrtve, da plačajo odkupnino. Ko je nameščena v ogroženem omrežju, Mortar šifrira datoteke in za seboj pusti sporočilo z zahtevo za odkupnino, poimenovano glede na edinstven identifikator žrtve, v obliki »README-[ID žrtve].txt«.

Posebnost te izsiljevalske programske opreme je njeno vedenje pri preimenovanju datotek. Med šifriranjem Mortar vsaki prizadeti datoteki doda edinstven ID žrtve. Na primer, datoteka, ki je bila prvotno imenovana »1.png«, lahko postane »1.png.4RcrXfvVksS5ACA«, medtem ko se dokument, kot je »2.pdf«, lahko pretvori v »2.pdf.4RcrXfvVksS5ACA«. Isti identifikator se nato uporabi v imenu datoteke z zahtevo za odkupnino, kar ustvari neposredno povezavo med žrtvijo in napadom.

Postopek šifriranja in zahteve za odkupnino

Po vdoru v omrežje Mortar šifrira širok nabor podatkov, vključno z dokumenti, bazami podatkov, fotografijami in drugimi dragocenimi poslovnimi datotekami. V zahtevku za odkupnino piše, da so napadalci za zaklepanje podatkov žrtve uporabili šifrirne algoritme AES-256 in RSA-2048. Čeprav so takšne trditve pogoste med upravljavci izsiljevalske programske opreme, ostaja splošni cilj enak: onemogočiti dostop do podatkov brez ustreznega ključa za dešifriranje.

V obvestilu o odkupnini žrtve obvestijo, da je edini način za obnovitev njihovih datotek nakup orodja za dešifriranje od napadalcev. Namesto da bi določili fiksni znesek odkupnine, kriminalci žrtve usmerijo na portal, ki temelji na platformi Tor, in jim posredujejo prijavne podatke, ki jih sestavljajo uporabniško ime in geslo. Ta pristop napadalcem omogoča, da se individualno pogajajo o plačilih in morebiti prilagodijo zahteve za odkupnino glede na zaznano vrednost organizacije žrtve.

Ali je mogoče obnoviti šifrirane datoteke?

Obnovitev datotek, šifriranih z izsiljevalsko programsko opremo, je pogosto izjemno težka brez dostopa do mehanizma za dešifriranje napadalcev. V redkih primerih raziskovalci kibernetske varnosti odkrijejo napake pri implementaciji ali kriptografske slabosti, ki omogočajo ustvarjanje brezplačnih dešifrirjev. Vendar so takšni primeri redki in žrtve, ki jih je prizadela dobro zasnovana izsiljevalska programska oprema, se pogosto soočajo z omejenimi možnostmi obnovitve.

Plačilo odkupnine se na splošno šteje za zelo tvegano odločitev. Kibernetski kriminalci niso dolžni zagotoviti delujočega orodja za dešifriranje po prejemu plačila. Številne žrtve so že doživele situacije, ko so bila sredstva nakazana, vendar orodja za obnovitev niso bila nikoli dostavljena ali pa zagotovljena orodja niso uspešno obnovila podatkov. Posledično lahko plačilo povzroči dodatno finančno izgubo, ne da bi zagotovilo obnovitev datotek.

Vektorji okužb in tehnike napada

Malta lahko doseže žrtve z več metodami napada, ki se pogosto uporabljajo v kampanjah izsiljevalske programske opreme. Lažno predstavljanje ostaja eden najpogostejših vektorjev okužbe. Napadalci distribuirajo e-poštna sporočila z zlonamernimi prilogami, kot so stisnjeni arhivi, izvršljive datoteke ali dokumenti Microsoft Officea, v katere so vdelani škodljivi makri. Ko so te datoteke odprte, lahko sprožijo postopek nameščanja izsiljevalske programske opreme.

Dodatne poti okužbe vključujejo programsko opremo, okuženo s trojanci, lažne mehanizme posodabljanja, zlonamerne oglaševalske kampanje, nezanesljive portale za prenos in piratske aplikacije, ki se distribuirajo prek neuradnih kanalov. Te metode izkoriščajo zaupanje uporabnikov in neustrezne varnostne kontrole za dostop do sistemov.

Pri ciljno usmerjenih vdorih v podjetja lahko akterji groženj uporabijo naprednejše tehnike. Napadalci pogosto poskušajo ogroziti storitve protokola oddaljenega namizja (RDP) z napadi z grobo silo na šibke poverilnice. Lahko pa izkoristijo tudi nepopravljene ranljivosti v sistemih, ki so povezani z internetom, da si pridobijo začetno oporo, preden se premaknejo po omrežju in hkrati namestijo izsiljevalsko programsko opremo na več naprav.

Odziv na okužbo malte

Ko je Mortar zaznan, je takojšnja omejitev ključnega pomena. Odstranitev izsiljevalske programske opreme iz prizadetih sistemov pomaga preprečiti nadaljnje šifriranje in zmanjša tveganje za dodatno škodo v okolju. Vendar pa odstranitve zlonamerne programske opreme ne smemo zamenjevati z obnovitvijo podatkov. Odstranitev zlonamernega programa ne obnovi samodejno šifriranih datotek.

Najbolj zanesljiva metoda obnovitve ostaja obnovitev čistih varnostnih kopij, ustvarjenih pred napadom. Varnostne kopije je treba shranjevati ločeno od produkcijskih sistemov, da se prepreči, da bi izsiljevalska programska oprema med incidentom šifrirala repozitorije varnostnih kopij. Organizacije, ki vzdržujejo varne, izolirane varnostne kopije, so običajno v veliko boljšem položaju za okrevanje po napadih izsiljevalske programske opreme, ne da bi se morale ukvarjati s kibernetskimi kriminalci.

Gradnja močne obrambe pred izsiljevalsko programsko opremo

Učinkovita zaščita pred izsiljevalsko programsko opremo zahteva večplastno varnostno strategijo, ki združuje tehnologijo, ozaveščenost uporabnikov in proaktivno vzdrževanje. Organizacije bi morale redno posodabljati operacijske sisteme, aplikacije in omrežne naprave, da bi odpravile ranljivosti, ki jih napadalci pogosto izkoriščajo. Močne politike preverjanja pristnosti, zlasti za storitve oddaljenega dostopa, lahko znatno zmanjšajo tveganje nepooblaščenega vstopa.

Enako pomemben je razvoj robustne strategije varnostnega kopiranja. Kritične podatke je treba kopirati na več lokacij, vključno z brezžično ali odklopljeno shrambo, do katere ni mogoče dostopati iz ogroženih sistemov. Redno testiranje varnostnih kopij zagotavlja, da postopki obnovitve delujejo pravilno v izrednih razmerah.

Ključne varnostne prakse vključujejo:

  • Vzdrževanje pogostih varnostnih kopij, shranjenih na ločenih in zaščitenih lokacijah.
  • Namestitev varnostnih posodobitev in popravkov takoj, ko so na voljo.
  • Uporaba močnih, edinstvenih gesel in omogočanje večfaktorske avtentikacije.
  • Omejevanje nepotrebnih storitev oddaljenega dostopa in spremljanje poskusov prijave.
  • Usposabljanje zaposlenih za prepoznavanje lažnih e-poštnih sporočil in sumljivih prilog.
  • Uvajanje uglednih rešitev za zaščito končnih točk in spremljanje omrežja.

Organizacije bi morale sprejeti tudi načelo najmanjših privilegijev in uporabnikom podeliti le dostop, ki je potreben za njihove vloge. Neprekinjeno spremljanje, varnostni pregledi in načrtovanje odzivanja na incidente dodatno krepijo odpornost proti kampanjam izsiljevalske programske opreme, kot je Mortar. Kombinacija preventivnih kontrol, zmogljivosti hitrega odkrivanja in zanesljivih sistemov za varnostno kopiranje ostaja najučinkovitejša obramba pred sodobnimi grožnjami šifriranja datotek.

Zaključek

Izsiljevalska programska oprema Mortar predstavlja resno grožnjo poslovnim omrežjem zaradi svoje sposobnosti šifriranja dragocenih podatkov, motenja delovanja in pritiska na žrtve, da plačajo za dešifriranje. Z dodajanjem edinstvenih identifikatorjev šifriranim datotekam in usmerjanjem žrtev na namenski portal za odkupnino napadalci dokazujejo strukturiran in ciljno usmerjen pristop. Čeprav je obnovitev šifriranih datotek lahko zahtevna, lahko organizacije, ki dajejo prednost močnim praksam kibernetske varnosti, vzdržujejo izolirane varnostne kopije in proaktivno odpravljajo ranljivosti, znatno zmanjšajo vpliv incidentov izsiljevalske programske opreme in izboljšajo svojo splošno varnostno držo.

System Messages

The following system messages may be associated with Izsiljevalska programska oprema Mortar:

--------------------------------------------
| What happened to your files?
--------------------------------------------

We breached your corporate network and encrypted the data on your computers. The encrypted data includes documents, databases, photos and more - all were encrypted using a military grade encryption algorithms (AES-256 and RSA-2048). You cannot access those files right now. But don't worry!

You can still get those files back and be up and running again in no time.

---------------------------------------------
| How to contact us to get your files back?
---------------------------------------------

The only way to restore your files is by purchasing a decryption tool loaded with a private key we created specifically for your network.

Once run on an effected computer, the tool will decrypt all encrypted files - and you can resume day-to-day operations, preferably with better cyber security in mind. If you are interested in purchasing the decryption tool contact us at hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion.

!IMPORTANT!
TO RESTORE YOUR FILES CONTACT US VIA TOR BROWSER

WEBSITE: hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion
USERNAME: sid
PASSWORD: 4RcrXfvVksS5ACA

BACKUP LINK TO SUPPORT TEAM: hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion
!!!!!!!!!!!

V trendu

Prevara z e-poštnimi sporočili za sodelovanje na...

Lažno predstavljanje, Neželena pošta
Kibernetski kriminalci, ki stojijo za prevaro LinkedIn Collaboration, poskušajo prejemnike zvabiti s tem, kar je videti kot profesionalno poslovno povpraševanje. E-poštna sporočila naj bi izvirala od kupca z imenom »Jonathan Spriggs« iz podjetja Storex Trading Ltd., ki naj bi prejemnika odkril prek LinkedIna in se želi pogovoriti o velikem naročilu izdelkov, ki vključuje 12.000 enot. Da bi...

Vaš e-poštni odjemalec Microsoft Outlook je zastarel...

Lažno predstavljanje, Neželena pošta
E-poštna sporočila »Vaš e-poštni odjemalec Microsoft Outlook je zastarel« so lažna sporočila, oblikovana tako, da so videti kot uradna varnostna obvestila programa Microsoft Outlook. E-poštna sporočila prejemnike opozarjajo, da je njihov e-poštni odjemalec domnevno zastarel, in trdijo, da bi lahko brez takojšnje posodobitve izgubili e-pošto, stike, koledarje, sestanke in druge pomembne podatke...

Najbolj gledan

Nalaganje...