Антихакерски програм за изнуду

Заштита личних и пословних података од модерних претњи злонамерним софтвером више није опционална, већ је оперативна неопходност. Оператори ransomware-а настављају да усавршавају своје тактике, алате и шеме социјалног инжењеринга како би максимизирали поремећаје и изнуђивали плаћања. Чак су и мање организације и кућни корисници редовно мета, а опоравак може бити тежак или немогућ без припреме. AntiHacker Ransomware, члан породице Xorist, је управо таква претња.

ПРЕГЛЕД ПРЕТЊИ И ПОРЕКЛО

АнтиХакер је злонамерни програм који су открили истраживачи информационе безбедности и категорисан је у породицу рансомвера Xorist. Претње засноване на Xorist-у су обично изграђене од оквира комплета који нападачи могу да прилагоде, мењајући приказану поруку о откупу, екстензију датотеке, језичке елементе и друге параметре. АнтиХакер прати познати Xorist-ов план: шифрује податке жртве, а затим захтева плаћање у замену за наводни кључ за дешифровање.

ПОНАШАЊЕ И ОЗНАЧАВАЊЕ ДАТОТЕКА ПРИ ШИФРОВАЊУ

Када АнтиХакер компромитује систем, он претражује податке којима корисник може да приступи на локалним дисковима и потенцијално мапираним мрежним локацијама. Циља се широк спектар типова датотека, документи, слике, архиве, мултимедијалне датотеке и друга вредна складишта података. Свака шифрована ставка се преименује додавањем стринга „.antihacker2017“ на крај оригиналног имена датотеке. На пример, датотека која је првобитно названа „1.png“ постаје „1.png.antihacker2017“; „2.pdf“ постаје „2.pdf.antihacker2017“; и овај образац се понавља у свим обрађеним датотекама. Додата екстензија служи двема сврхама: визуелно сигнализира компромитовање жртви и помаже ransomware-у да идентификује које ставке је већ обрадио.

ПОРУКЕ ЗА ОТКУПНИНУ, ИСКАЧУЋИ ПРОЗОРИ И ПОРУКЕ НА ПОЗАДИНИ

Након што заврши своју рутину шифровања, АнтиХакер мења позадину радне површине жртве и поставља поруку са захтевом за откуп у два паралелна формата: искачући прозор и текстуалну датотеку под називом „КАК РАШИФРОВАТЬ ФАЙЛЫ.txt“ (руски за „КАКО ДЕШИФРОВАТИ ДАТОТЕКЕ“). Садржај поруке приказан у искачућем прозору и текстуалној датотеци је исти. Међутим, варијанта позадине укључује додатни језик социјалног инжењеринга, наводно оправдање да се напад догодио зато што је корисник посетио одређене веб странице за одрасле или илегалне веб странице. Овај срамотни угао је осмишљен да изврши притисак на жртве да брзо и тихо плате.

НЕОБИЧАЈНОСТ КОДИРАЊА ЗНАКОВА

На системима који не користе ћирилични скуп знакова, текст откупа приказан у искачућем прозору може изгледати као нечитљив бесмислица. Жртве стога могу видети оштећен прозор поруке, али и даље пронаћи читљива упутства унутар отпуштене текстуалне датотеке. Нападачи често превиђају детаље локализације; браниоци могу користити такве артефакте како би помогли у груписању повезаних инцидената.

МЕХАНИКЕ ПРИСИЛЕ: КЉУЧНА ОГРАНИЧЕЊА УЛАЗА И ЗАХТЕВИ У ПОГЛЕДУ ПРЕТЊИ

У упутствима за откуп наводи се да жртве морају контактирати нападаче како би добиле кључ за дешифровање. Такође се намеће ограничење високог стреса: дозвољено је само 50 покушаја уноса кључа, након чега се у поруци наводи да ће шифровани подаци бити трајно изгубљени. Додатна упозорења тврде да ће коришћење безбедносних алата, поновно покретање или искључивање рачунара учинити датотеке недешифрујућим. Ове тактике застрашивања су уобичајене у приручницима за ransomware и имају за циљ да обесхрабре кориснике да потраже стручну помоћ или покушају безбедних поступака санације.

ЗАШТО ЈЕ ПЛАЋАЊЕ ОТКУПНИНЕ РИЗИЧНО

Не постоји гаранција да ће сајбер криминалци који стоје иза АнтиХакера (или било ког рансомвера) испоручити функционално решење за дешифровање након плаћања. Жртве које плате често не добијају ништа, добијају покварен кључ или постају мете за поновљене изнуде. Плаћање такође финансира текуће криминалне операције и подстиче даље нападе. Разборит став је да се избегава плаћање кад год је то могуће и да се фокусирате на путеве опоравка који су под вашом контролом.

РЕАЛНОСТ ОПОРАВКА

Уклањање АнтиХакера са зараженог система може зауставити даље шифровање датотека, али не дешифрује податке који су већ закључани. Најпоузданији пут до опоравка је враћање чистих копија погођених датотека из резервних копија које су биле изоловане, офлајн или на други начин ван домашаја злонамерног софтвера. Ако не постоје одрживе резервне копије, опције за опоравак података постају веома ограничене.

ПРИМАРНИ ПРЕКТОРИ ИНФЕКЦИЈЕ

Аутори програма за рансомвер ослањају се на исти широки екосистем дистрибуције који покреће друге категорије злонамерног софтвера. АнтиХакер није изузетак. Нападачи често маскирају корисне садржаје као легитиман софтвер или их пакују са крекованим или пиратским програмима, документима или инсталатерима. Само отварање заражене датотеке може покренути ланац преузимања или извршавања.

• Мамци за фишинг и друштвени инжењеринг који се испоручују путем имејла, приватних порука или директних порука са злонамерним прилозима или уграђеним линковима.
• Успутна или обмањујућа преузимања покренута са компромитованих или злонамерних веб локација без јасне сагласности корисника.
• Тројански учитавачи и задња врата који тихо преузимају и покрећу ransomware након што се уграде.
• Непоуздани извори за преузимање као што су сајтови са бесплатним софтвером, странице за хостовање трећих страна и мреже за дељење датотека типа „peer-to-peer“ (P2P).
• Онлајн преваре и кампање злонамерног оглашавања које преусмеравају кориснике ка комплетима за експлоитацију или лажним корисним садржајима.
• Илегални алати за активацију софтвера („крекови“ / кејгенови) и лажна ажурирања софтвера која инсталирају злонамерни софтвер уместо легитимних закрпа.
• Архиве (ZIP, RAR, итд.), извршне датотеке (EXE, RUN, итд.), скриптне датотеке (нпр. JavaScript) и формати докумената (PDF, Microsoft Office, OneNote и други) коришћени су као оружје за покретање ланца инфекције.

ПРЕГЛЕД ОДБРАМБЕНЕ СТРАТЕГИЈЕ

Ефикасна одбрана од ransomware-а комбинује људе, процесе и технологију. Не можете се ослонити на једну заштитну контролу; претпоставите да ће барем један слој отказати. Комбинујте свест корисника, ојачане конфигурације, ригорозне закрпљења, робусне праксе резервних копија и снажне могућности детекције/одговора како бисте смањили и вероватноћу и утицај упада у стилу AntiHacker-а.

• Одржавајте резервне копије важних података.
• Редовно ажурирајте оперативне системе, апликације и безбедносне алате; благовремено примењујте закрпе, посебно за сервисе за удаљени приступ и дељење датотека.
• Користите реномирана решења за заштиту од злонамерног софтвера / откривање и реаговање на крајње тачке (EDR) са могућностима откривања бихејвиоралног рансомвера и аутоматским враћањем на претходно стање где је то подржано.
• Примените права корисника са најмањим привилегијама; обављајте свакодневне задатке под налозима који нису администратори и ограничите приступ писању у дељена складишта података.
• Сегментирајте мреже и ограничите латерално кретање; изолујте складишта резервних копија и критичне сервере на одвојеним нивоима приступа.
• Захтевајте вишефакторску аутентификацију (MFA) за удаљене пријаве, привилеговане радње и конзоле за управљање резервним копијама.

ЗАКЉУЧАК

Антихакерски Ransomware илуструје како актери претњи прилагођавају породице комплета засноване на комплетима попут Xorist-а да би креирали моћне, регионално циљане шеме изнуде. Његово шифровање података, означавање имена датотека, вишејезични артефакти порука о откупу и присилне поруке су све осмишљене да подстакну плаћање. Ипак, најјача контрамера остаје припрема: изоловане резервне копије, слојевита одбрана, информисани корисници и дисциплинован план реаговања. Организације и појединци који улажу у ове мере заштите могу претворити потенцијално катастрофалан догађај ransomware-а у инцидент који се може надокнадити.