Popust za več licenc
Podjetje o grožnjah Ransomware Izsiljevalska programska oprema Run (Makop)

Izsiljevalska programska oprema Run (Makop)

Do leta Mezo leta Ransomware
Prevedi v:

Zaščita digitalnih okolij pred zlonamerno programsko opremo je postala ključna odgovornost tako za posameznike kot za organizacije. Sodobne operacije izsiljevalske programske opreme niso več oportunistične nadloge; gre za premišljene, večstopenjske napade, namenjene šifriranju, izsiljevanju in javnemu razkrivanju občutljivih informacij. Ena takšnih sofisticiranih groženj, ki jo trenutno spremljajo varnostni raziskovalci, je Run Ransomware, zlonamerni sev, ki prikazuje razvijajoče se taktike sodobnih kibernetskih kriminalnih skupin.

Zaženite izsiljevalsko programsko opremo: različica družine Makop

Varnostni analitiki so prepoznali Run Ransomware kot člana družine izsiljevalske programske opreme Makop, znane skupine sevov zlonamerne programske opreme za šifriranje datotek, povezanih z agresivnimi tehnikami izsiljevanja. Grožnja je bila odkrita med širšo preiskavo aktivnih in novih kampanj izsiljevalske programske opreme.

Ko se Run Ransomware zažene, sproži sistematičen postopek šifriranja, ki cilja na uporabniške datoteke v ogroženem sistemu. Po šifriranju podatkov spremeni imena datotek tako, da jim doda tri različne elemente: enolični ID žrtve, kontaktni e-poštni naslov in končnico '.run'. Na primer, datoteka, kot je '1.png', postane '1.png.[2AF20FA3].[runandpay@outlook.com].run'. Ta struktura preimenovanja služi tako kot označevalec kompromitacije kot tudi kot taktika psihološkega pritiska, zaradi česar je okužba takoj vidna.

Poleg šifriranja datotek izsiljevalska programska oprema spremeni ozadje sistema, da okrepi sporočilo o napadu, in objavi sporočilo o odkupnini z naslovom »+README-WARNING+.txt«. Ta dejanja so zasnovana tako, da žrtev ne more prezreti vdora.

Taktike izsiljevanja in psihološki pritisk

Zahteva za odkupnino vsebuje jasno in prisilno sporočilo. Trdi, da je bil računalnik žrtve zaklenjen, datoteke šifrirane in da so bili ukradeni občutljivi podatki. Ta kombinacija šifriranja in izsiljevanja podatkov kaže na strategijo dvojnega izsiljevanja, tehniko, ki jo sodobni operaterji izsiljevalske programske opreme vse pogosteje uporabljajo.

Žrtve so poučene, naj se z napadalci obrnejo prek posredovanega e-poštnega naslova »runandpay@outlook.com« in navedejo svoj edinstveni ID. Obvestilo poudarja nujnost s ponudbo nižje odkupnine, če se komunikacija zgodi v prvih 24 urah. Nadalje grozi, da bo neupoštevanje povzročilo javno objavo ukradenih datotek. Poleg tega opozarja, da bo orodje za dešifriranje izbrisano, če žrtev noče plačati, kar povečuje zaznano tveganje trajne izgube podatkov.

V resnici plačilo odkupnine ne zagotavlja obnovitve datotek. Številne žrtve bodisi prejmejo nedelujoča orodja za dešifriranje bodisi so po plačilu prezrte. Brez dostopa do zasebnih ključev za dešifriranje napadalcev je obnovitev šifriranih datotek običajno nemogoča, razen če so na voljo zanesljive varnostne kopije.

Prenašalci okužb in metode širjenja

Izsiljevalska programska oprema Run sledi običajnim, a zelo učinkovitim distribucijskim kanalom, ki se uporabljajo v okolju izsiljevalske programske opreme. Okužba se običajno zgodi po interakciji z zlonamerno ali zavajajočo vsebino. Grožnje pogosto prikrivajo koristne vsebine v datotekah, ki so videti legitimne ali običajne.

Pogoste poti okužbe vključujejo:

  • Lažna e-poštna sporočila z zlonamernimi prilogami ali povezavami
  • Lažna sporočila tehnične podpore in prevare s socialnim inženiringom
  • Piratska programska oprema, razpoke in generatorji ključev
  • Ogrožena ali goljufiva spletna mesta
  • Omrežja za izmenjavo datotek med vrstniki
  • Zlonamerni oglasi in kompleti za izkoriščanje
  • Okuženi USB pogoni
  • Izkoriščanje nepopravljenih ranljivosti programske opreme

Zlonamerne datoteke se lahko predstavijo kot izvedljivi programi, skripti, stisnjeni arhivi (ZIP ali RAR) ali običajne oblike dokumentov, kot so datoteke Word, Excel in PDF. Zastarela programska oprema znatno poveča izpostavljenost, saj akterji napada pogosto izkoristijo znane ranljivosti za pridobitev začetnega dostopa.

Pomen takojšnje odstranitve

Ko je izsiljevalska programska oprema enkrat v sistemu, jo je treba čim prej odstraniti. Če ostane aktivna, lahko še naprej šifrira novo ustvarjene ali povezane datoteke, vključno s tistimi, ki se nahajajo na preslikanih omrežnih pogonih ali v skupnem pomnilniku. V poslovnih okoljih lahko to eno samo ogroženo končno točko preraste v obsežen omrežni incident.

Pravočasna izolacija okužene naprave iz omrežja lahko prepreči lateralno širjenje. Vendar pa sama odstranitev ne dešifrira prizadetih datotek, temveč le ustavi nadaljnje zlonamerne dejavnosti.

Krepitev obrambe: bistvene varnostne prakse

Učinkovita obramba pred programsko opremo Run Ransomware in podobnimi grožnjami zahteva večplastno varnostno strategijo. Čeprav noben sistem ni popolnoma imun, naslednje najboljše prakse znatno zmanjšajo izpostavljenost tveganju:

  • Redno vzdržujte varnostne kopije brez povezave ali v oblaku in preverjajte njihovo celovitost.
  • Operacijske sisteme in aplikacije posodabljajte z najnovejšimi varnostnimi popravki.
  • Uporabljajte ugledne rešitve za zaščito končnih točk z zaznavanjem groženj v realnem času.
  • Makre v dokumentih Office onemogočite, razen če je to nujno potrebno.
  • Izogibajte se prenosu piratske ali neuradne programske opreme.
  • Bodite previdni pri neželenih e-poštnih sporočilih, zlasti tistih, ki vsebujejo priloge ali nujne zahteve.
  • Omejite skrbniške pravice, da omejite nepooblaščene spremembe sistema.
  • Izvedite segmentacijo omrežja v organizacijskih okoljih.

Poleg tehničnih kontrol ostaja ozaveščenost uporabnikov temelj odpornosti kibernetske varnosti. Usposabljanje posameznikov za prepoznavanje poskusov lažnega predstavljanja in sumljivih prenosov lahko drastično zmanjša stopnje uspešnih okužb.

Končna ocena

Izsiljevalska programska oprema Run ponazarja vse večjo prefinjenost sodobnih operacij izsiljevalske programske opreme. S šifriranjem, krajo podatkov in psihološko manipulacijo pritiska na žrtve, da hitro odločijo o plačilu. Njena povezanost z družino izsiljevalske programske opreme Makop poudarja strukturirano in razvijajočo se naravo teh kriminalnih podvigov.

Obnovitev brez varnostnih kopij je pogosto neizvedljiva, plačilo odkupnine pa ostaja tvegano tveganje. Najbolj zanesljiva zaščita je v proaktivni obrambi: robustne strategije varnostnega kopiranja, pravočasne posodobitve programske opreme, močna zaščita končnih točk in informirano vedenje uporabnikov. V današnjem okolju groženj pripravljenost ni neobvezna, temveč bistvena.

 

System Messages

The following system messages may be associated with Izsiljevalska programska oprema Run (Makop):

----------------------------------------------------

WARNING! AVVERTIMENTO! WARNUNG!

----------------------------------------------------

Your computer is locked, your data are encrypted and stolen.

Contact us immediately to pay and decrypt your files.

The decryption price is lower for the first 24 hours.

If you don't pay for decryption after your initial contact, the files will be published online.

The decoder will be deleted if you don't pay.

----------------------------------------------------

Email: runandpay@outlook.com

----------------------------------------------------

YOUR ID:

V trendu

Kampanja napada izsiljevalske programske opreme Medusa

Napredna trajna grožnja (APT), Ransomware
Severnokorejski akter, znan kot Lazarus Group, ki ga spremljajo tudi kot Diamond Sleet in Pompilus, je bil opažen pri uporabi izsiljevalske programske opreme Medusa v napadu na neimenovano organizacijo na Bližnjem vzhodu. Varnostni raziskovalci so nadalje odkrili neuspešen poskus vdora istih akterjev, ki je bil usmerjen v zdravstveno organizacijo v Združenih državah. Medusa deluje po modelu...

Najbolj gledan

Nalaganje...