Izsiljevalska programska oprema Zollo

Grožnje zlonamerne programske opreme so vse bolj dovršene, zaradi česar je zaščita naprav ključna prednostna naloga tako za posameznike kot za organizacije. Zlasti napadi izsiljevalske programske opreme lahko povzročijo hude motnje v delovanju, finančne izgube in razkritje občutljivih podatkov. Ena nedavno opaženih groženj je izsiljevalska programska oprema Zollo, zlonamerni program, zasnovan za šifriranje datotek in izsiljevanje žrtev za plačilo. Razumevanje delovanja in širjenja te grožnje je bistvenega pomena za izgradnjo močnejše obrambe pred podobnimi napadi.

Pojav izsiljevalske programske opreme Zollo

Izsiljevalska programska oprema Zollo je bila identificirana kot različica družine izsiljevalskih programov MedusaLocker. Tako kot drugi člani te družine je zasnovana tako, da infiltrira sisteme, šifrira dragocene datoteke in pritiska na žrtve, da plačajo odkupnino v zameno za dešifriranje.

Ko se zlonamerna programska oprema zažene na ogroženi napravi, pregleda sistem za dostopne datoteke in jih šifrira z močnimi kriptografskimi algoritmi. Po šifriranju izsiljevalska programska oprema spremeni imena datotek tako, da jim doda značilno končnico, kot je '.zollo6'. Na primer:

• 1.png postane 1.png.zollo6
• 2.pdf postane 2.pdf.zollo6

Številka v končnici se lahko razlikuje, vendar rezultat ostaja enak: šifrirane datoteke postanejo nedostopne za uporabnika. Poleg zaklepanja datotek izsiljevalska programska oprema spremeni ozadje namizja sistema in na napravo namesti sporočilo z zahtevo za odkupnino z naslovom »READ_NOTE.html«.

Metode šifriranja in sporočilo o odkupnini

V sporočilu z zahtevo za odkupnino, ki so ga pustili napadalci, je navedeno, da so bile datoteke zavarovane s kombinacijo šifriranja RSA in AES, ki sta pogosto uporabljeni kriptografski metodi v sodobnih operacijah izsiljevalske programske opreme. V sporočilu je navedeno, da lahko vsak poskus obnovitve, preimenovanja ali spreminjanja šifriranih datotek povzroči trajno škodo na podatkih.

Napadalci vztrajajo, da nobena javno dostopna programska oprema ne more obnoviti datotek, in trdijo, da lahko dostop obnovi le njihovo lastniško orodje za dešifriranje. Žrtve naj se obrnejo na operaterje prek navedenih e-poštnih naslovov:

• recovery1@salamati.vip
• recovery1@amniyat.xyz

Sporočilo uvaja tudi element časovnega pritiska: žrtve so opozorjene, da se bo znesek odkupnine povečal, če stik ni vzpostavljen v 72 urah.

Kraja podatkov in taktike dvojnega izsiljevanja

Posebej zaskrbljujoča značilnost te različice izsiljevalske programske opreme je trditev, da so bili zaupni podatki ukradeni pred šifriranjem. Napadalci trdijo, da so ti podatki shranjeni na zasebnem strežniku pod njihovim nadzorom.

Glede na sporočilo z zahtevo za odkupnino bo plačilo povzročilo izbris ukradenih podatkov z njihovih strežnikov. Če odkupnina ni plačana, operaterji grozijo z objavo ali prodajo informacij. Ta strategija, znana kot dvojno izsiljevanje, povečuje pritisk na žrtve, saj združuje šifriranje podatkov s tveganjem razkritja javnih podatkov.

Tudi ko žrtve ugodijo zahtevam po odkupnini, ni nobenega zagotovila, da bodo napadalci zagotovili delujoče orodje za dešifriranje ali izbrisali ukradene podatke. Zaradi tega strokovnjaki za kibernetsko varnost običajno odsvetujejo plačilo odkupnine.

Kako se širi izsiljevalska programska oprema Zollo

Izsiljevalske kampanje se pogosto zanašajo na prevaro in socialni inženiring za infiltracijo v sisteme. Napadalci pogosto prikrijejo zlonamerne koristne datoteke kot legitimne datoteke, da bi uporabnike zmotili, da jih izvedejo.

Pogosti vektorji okužbe vključujejo:

• Zlonamerne priloge e-pošte ali povezave, vdelane v lažna e-poštna sporočila
• Lažna opozorila tehnične podpore, namenjena zvabljanju žrtev v prenos zlonamerne programske opreme
• Razpokana programska oprema, neuradni generatorji ključev in piratske aplikacije
• Zastarela programska oprema z nepopravljenimi ranljivostmi
• Ogrožena spletna mesta, zlonamerni oglasi in omrežja za izmenjavo datotek med vrstniki
• Programi za prenos podatkov tretjih oseb ali okuženi USB-pogoni

Ko se izsiljevalska programska oprema zažene, takoj začne šifrirati datoteke in se lahko poskuša razširiti po povezanih sistemih znotraj istega omrežja.

Izzivi pri okrevanju in odzivanje na incidente

Po šifriranju žrtve običajno ne morejo odpreti prizadetih datotek brez napadalčevega ključa za dešifriranje. Obnovitev je mogoča le v določenih okoliščinah, predvsem kadar obstajajo varne varnostne kopije, ki med napadom niso bile povezane z okuženim sistemom.

Takojšnja odstranitev izsiljevalske programske opreme je bistvenega pomena, ko jo odkrijemo. Če zlonamerna programska oprema ostane aktivna v napravi, lahko še naprej šifrira dodatne datoteke ali se poskuša širiti na druge računalnike v omrežju. Hitra izolacija okuženega sistema lahko zato omeji škodo in prepreči nadaljnje širjenje.

Bistveni varnostni postopki za preprečevanje izsiljevalske programske opreme

Močne varnostne navade znatno zmanjšajo verjetnost okužbe z grožnjami, kot je izsiljevalska programska oprema Zollo. Učinkovita zaščita zahteva kombinacijo proaktivnih tehničnih kontrol in previdnega vedenja uporabnikov.

Redno posodabljanje operacijskih sistemov, aplikacij in varnostnih orodij je ključnega pomena, saj številne kampanje izsiljevalske programske opreme izkoriščajo ranljivosti v zastareli programski opremi. Enako pomembna je uporaba zanesljivih protivirusnih rešitev ali rešitev za zaščito končnih točk, ki lahko zaznajo sumljivo vedenje.

Vzdrževanje varnostnih kopij brez povezave ali v oblaku je eden najučinkovitejših zaščitnih ukrepov. Varnostne kopije je treba shranjevati ločeno od primarnega sistema, da jih med napadom ni mogoče šifrirati. V primeru okužbe lahko čiste varnostne kopije omogočijo obnovitev sistemov brez plačila odkupnine.

Uporabniki naj bodo previdni tudi pri e-poštnih prilogah in prenosih. Sumljive datoteke, zlasti tiste, ki trdijo, da so nujne ali zahtevajo takojšnje ukrepanje, je treba pred odpiranjem preveriti. Organizacije to obrambo pogosto krepijo s filtriranjem e-pošte, peskovnikom prilog in usposabljanjem za ozaveščenost o varnosti.

Segmentacija omrežja lahko dodatno zmanjša tveganje z omejevanjem širjenja izsiljevalske programske opreme po vstopu v okolje. V kombinaciji z nadzorom dostopa in sistemi za spremljanje segmentacija pomaga omejiti okužbe, preden prizadenejo kritično infrastrukturo.

Zaključne misli

Grožnje izsiljevalske programske opreme, kot je Zollo Ransomware, poudarjajo pomen proaktivnih ukrepov za kibernetsko varnost. Z šifriranjem datotek, grožnjami z razkritjem podatkov in pritiskom na žrtve z zahtevami po odkupnini v omejenem času si napadalci prizadevajo izsiliti hitra plačila.

Večplastna obrambna strategija, ki združuje sistemske posodobitve, zanesljive varnostne kopije, varnostno programsko opremo in previdne uporabniške prakse, ostaja najučinkovitejši način za ublažitev teh groženj. Zgodnje odkrivanje in hiter odziv lahko drastično zmanjšata vpliv incidentov z izsiljevalsko programsko opremo in zaščitita dragocene podatke pred nepopravljivo izgubo.