Izsiljevalska programska oprema NeZha
Izsiljevalska programska oprema ostaja ena najbolj motečih groženj, s katerimi se soočajo posamezniki in organizacije. En sam uspešen vdor lahko ustavi delovanje, poškoduje ali ukrade občutljive podatke in sproži drage postopke obnovitve. Gradnja močne, večplastne obrambe pred incidentom je edini zanesljiv način za zmanjšanje vpliva, ko napadalci poskušajo svojo srečo, ne pa če.
Kazalo
Pregled groženj
Raziskovalci so odkrili sofisticiran sev, imenovan izsiljevalska programska oprema NeZha. Tako kot pri drugih družinah v tej kategoriji je glavni cilj NeZha preprost: šifrirati čim več datotek in nato izsiliti plačilo za ključ za dešifriranje. Njegovi upravljavci se postavljajo kot edina pot do obnovitve in stopnjujejo pritisk s časovnimi omejitvami in grožnjami uhajanja podatkov.
Spremembe v sistemu in datoteke
Ko se NeZha uveljavi, začne šifrirati uporabniške in poslovne podatke na običajnih lokacijah. Med šifriranjem tudi preimenuje elemente tako, da jim doda identifikator, specifičen za žrtev, in končnico '.NeZha'. V opazovanih primerih imena datotek dobijo ID, podoben GUID-u; na primer, neškodljiva datoteka, kot je '1.png', se je pretvorila v ime, podobno '1.png.{A15EF2AD-5BC3-D5DC-D6C1-539CA114597E}.NeZha'. Po zaključku šifriranja NeZha v prizadete mape spusti zahtevo za odkupnino z naslovom 'README.TXT'.
Odkupnino in taktike pritiska
V sporočilu se trdi, da so baze podatkov, dokumenti, fotografije in druge datoteke šifrirane in da je edina rešitev nakup ključa za dešifriranje od napadalcev. Da bi si zgradili verodostojnost, kriminalci pogosto ponudijo brezplačno dešifriranje ene nekritične datoteke. Svarijo pred spreminjanjem zaklenjenih datotek, uporabo dešifrirjev tretjih oseb ali iskanjem zunanje pomoči, saj trdijo, da bo to povečalo izgube. Za prvi stik je določen 24-urni rok; če ga operaterji zamudijo, grozijo z razkritjem ali prodajo občutljivih podatkov podjetja, za katere trdijo, da so jih ukradli, kar je primer "dvojnega izsiljevanja".
Realnost okrevanja in dilema plačila
Tehnično gledano večine sodobne izsiljevalske programske opreme ni mogoče dešifrirati brez zasebnih ključev napadalcev, razen če ima zlonamerna programska oprema resne napake, kar je redek scenarij. Plačevanje pa je tvegano in odsvetovano: številne žrtve nikoli ne prejmejo delujočih dešifrirjev niti po nakazilu sredstev, plačilo pa ohranja kriminalno dejavnost. Varnejša pot je zanašanje na čiste varnostne kopije brez povezave in formalni odziv na incidente.
Zadrževanje in odstranitev
Odstranitev NeZha ustavi nadaljnje šifriranje, vendar ne odklene že prizadetih datotek. Prednostne naloge bi morale biti izolacija okuženih sistemov iz omrežja, ohranitev dokazov za forenziko, izkoreninjenje zlonamerne programske opreme z uporabo uglednih orodij ali čiste obnove in nato obnovitev iz znanih varnostnih kopij. Če sumite na uhajanje podatkov, aktivirajte načrt odzivanja na kršitve in upoštevajte pravne, regulativne in stranke obveščajoče obveznosti.
Kako se NeZha običajno širi
NeZha sledi načrtu mnogih kampanj izsiljevalske programske opreme in se pri tem opira na metode dostave, ki jih vodijo tako uporabniki kot napadalci. Napadalci lahko koristne tokove prikrijejo kot legitimno vsebino ali jih pretihotapijo v programske pakete, nato pa sprožijo izvajanje, ko je datoteka odprta ali skript zagnan. Nekatere različice se lahko širijo tudi lateralno v lokalnih omrežjih ali pa se kopirajo na izmenljive medije.
Pogosti vektorji dostave
- Lažno predstavljanje in socialni inženiring, ki vodita do odpiranja prilog, ki so pasti (Office/OneNote/PDF), skriptov (JavaScript), arhivov (ZIP/RAR) ali izvedljivih datotek (.exe/.run).
- Trojanski namestitveni programi, nalagalniki in zadnja vrata, ki kot drugo stopnjo privabljajo izsiljevalsko programsko opremo.
- Prenaševanje datotek mimo sistema in zavajajoči prenosi z ogroženih ali zlonamernih spletnih mest.
- Nezanesljivi viri za prenos (brezplačni portali, ogledala tretjih oseb, omrežja P2P).
- Neželene kampanje, spletne prevare in zlonamerno oglaševanje, ki preusmerja na koristne vsebine.
- Nezakonita orodja za aktivacijo ('crack'), piratska programska oprema/mediji in lažni pozivi za posodobitve.
- Samostojno širjenje prek lokalnih omrežij in izmenljivih nosilcev podatkov (USB pogoni, zunanji trdi diski).
Zaključne misli
NeZha ustreza sodobnemu kalupu izsiljevalske programske opreme: hitro šifriranje, močna prisila in verodostojne grožnje razkritja podatkov. Najboljši vpliv si zagotovite pred incidentom, s strogo higieno, večplastnimi kontrolami, preizkušenimi varnostnimi kopijami in izurjenim odzivanjem. Združite tehnične zaščitne ukrepe z izobraževanjem uporabnikov in discipliniranim delovanjem, da zmanjšate verjetnost in polmer eksplozije napada NeZha.
Sporočila
Najdena so bila naslednja sporočila, povezana z Izsiljevalska programska oprema NeZha:
YOUR FILES ARE ENCRYPTED |
