Moneybird Ransomware
Grupi iranian i hakerëve Agrius, i njohur gjithashtu si Pink Sandstorm dhe më parë Americium, ka zhvilluar së fundmi një lloj të ri ransomware të quajtur Moneybird. Ky malware kërcënues është vërejtur duke synuar në mënyrë specifike organizatat izraelite, duke nënkuptuar një ndryshim të rëndësishëm në taktikat e Agrius.
Tabela e Përmbajtjes
Kriminelët kibernetikë zgjerojnë Arsenalin e tyre kërcënues
Agrius ka një histori të kryerjes së sulmeve shkatërruese të fshirjes së të dhënave kundër subjekteve izraelite, shpesh duke i maskuar ato si incidente ransomware. Shfaqja e Moneybird, e koduar në C++, tregon ekspertizën në rritje të grupit dhe angazhimin e vazhdueshëm për krijimin e mjeteve të reja kibernetike.
Aktivitetet e grupit mund të gjurmohen të paktën në dhjetor 2020, kur Agrius ishte i përfshirë në ndërprerjen e përpjekjeve për ndërhyrje që synonin industritë e diamanteve në Afrikën e Jugut, Izrael dhe Hong Kong. Më parë, Agrius përdori një ransomware të shndërruar në fshirës të quajtur Apostle, bazuar në kornizën .NET, dhe pasardhësin e tij të quajtur Fantasy. Sidoqoftë, Moneybird përfaqëson një përparim të rëndësishëm për grupin, pasi shfaq aftësitë e tij në zhvillim kibernetikë përmes gjuhës së tij të programimit C++.
Aktorët e Kërcënimit shfrytëzojnë dobësitë e sigurisë për të fituar akses
Metodologjia e sulmit e përdorur nga Moneybird Ransomware demonstron një nivel të lartë të sofistikimit, duke filluar me shfrytëzimin e dobësive të pranishme në serverët e internetit që përballen me internetin. Ky shfrytëzim fillestar u jep sulmuesve një pikë kyçe hyrëse në rrjetin e organizatës së synuar, e lehtësuar nga vendosja e një guaskë Web ASPXSpy.
Pasi hyn në rrjetin e komprometuar, guaska e uebit shërben si një kanal komunikimi për sulmuesit për të ekzekutuar një sërë mjetesh të njohura të përshtatura posaçërisht për të kryer një zbulim të gjerë të mjedisit të viktimës. Këto mjete u mundësojnë sulmuesve të lëvizin anash brenda rrjetit, të mbledhin kredenciale të vlefshme dhe të nxjerrin të dhëna të ndjeshme.
Ransomware Moneybird është i pajisur me aftësi të avancuara të kriptimit
Pas fazës fillestare të infiltrimit dhe zbulimit, Moneybird Ransomware aktivizohet në hostin e komprometuar. Ky ransomware është projektuar me një fokus të veçantë në enkriptimin e skedarëve të ndjeshëm të vendosur brenda dosjes "F:\User Shares". Pas ekzekutimit, ransomware vendos një shënim shpërblimi, duke ushtruar presion të jashtëzakonshëm mbi viktimat për të vendosur kontakte brenda një afati kohor 24-orësh, duke i paralajmëruar ato për rrjedhjen e mundshme publike të të dhënave të tyre të vjedhura.
Moneybird Ransomware përdor një metodologji shumë të sofistikuar të kriptimit, duke përdorur AES-256 me GCM (Galois/Counter Mode). Kjo teknikë e avancuar e kriptimit gjeneron çelësa unikë të enkriptimit për çdo skedar dhe shton meta të dhëna të koduara në fund. Synimi i saktë dhe kriptimi i fuqishëm i zbatuar nga Moneybird e bëjnë detyrën e restaurimit të të dhënave dhe deshifrimit të skedarëve jashtëzakonisht sfiduese, nëse jo pothuajse të pamundur, në shumicën e rasteve.
Masa të rëndësishme sigurie për të ndaluar një sulm ransomware
Masat efektive të sigurisë mund të zbatohen për të mbrojtur pajisjet dhe të dhënat nga sulmet e ransomware. Së pari, mbajtja e softuerit të azhurnuar dhe të fortë të sigurisë është thelbësore. Përditësimi i rregullt i programeve anti-malware, së bashku me aktivizimin e përditësimeve automatike, ndihmon në mbrojtjen kundër kërcënimeve më të fundit.
Zbatimi i fjalëkalimeve të forta dhe unike për të gjitha llogaritë është një hap tjetër vendimtar. Kjo përfshin përdorimin e një kombinimi të shkronjave, numrave dhe simboleve, si dhe shmangien e fjalëkalimeve të zakonshme dhe lehtësisht të paramendueshme. Për më tepër, aktivizimi i vërtetimit me shumë faktorë shton një shtresë shtesë sigurie duke kërkuar hapa shtesë verifikimi për të hyrë në llogaritë.
Rezervimi i rregullt i të dhënave përkatëse është jetik për të zbutur ndikimin e një sulmi ransomware. Krijimi i kopjeve rezervë jashtë linje ose përdorimi i zgjidhjeve të ruajtjes në renë kompjuterike siguron që skedarët kritikë mund të rikuperohen në rast të kriptimit ose humbjes.
Të jesh i kujdesshëm gjatë shfletimit në internet dhe ndërveprimit me email është thelbësor. Përdoruesit duhet të ushtrojnë skepticizëm kur klikojnë në lidhje të dyshimta ose kur shkarkojnë skedarë nga burime të pabesueshme. Është thelbësore të jeni vigjilentë dhe të shmangni vizitimin e faqeve të internetit potencialisht të dëmshme ose përfshirjen me email-e të dyshimta, pasi ato mund të përmbajnë ngarkesa ransomware.
Të edukosh veten dhe të qëndrosh i informuar për kërcënimet më të fundit të sigurisë kibernetike dhe teknikat e sulmit është shumë e dobishme. Njohja e taktikave të zakonshme të inxhinierisë sociale të përdorura në sulmet e phishing dhe të qenit i vetëdijshëm për shenjat e një infeksioni të mundshëm ransomware mund t'i ndihmojë përdoruesit të marrin masa proaktive për të parandaluar dhe për t'iu përgjigjur sulmeve të tilla.
Përditësimi i rregullt i sistemeve operative, aplikacioneve dhe firmware-it është një aspekt tjetër jetësor i ruajtjes së sigurisë së fortë. Arnimet dhe përditësimet shpesh përfshijnë rregullime sigurie që adresojnë dobësitë që mund të shfrytëzohen nga ransomware dhe malware të tjerë.
Duke kryer një kombinim të këtyre masave të sigurisë, përdoruesit mund të rrisin mbrojtjen e pajisjeve dhe të dhënave të tyre kundër ndikimit shkatërrues të sulmeve të ransomware.
