БАРАДАИ Рансомваре

Модерне операције са ransomware-ом константно се развијају у софистицираности, чинећи проактивне праксе сајбер безбедности важнијим него икад. Организације и појединачни корисници се подједнако суочавају са сталним ризицима од злонамерних актера који желе да шифрују осетљиве податке, поремете операције и финансијски изнуде жртве. Један посебно опасан пример је BARADAI Ransomware, сој малвера повезан са озлоглашеном породицом ransomware-а MedusaLocker. Ова претња комбинује напредно шифровање са тактикама крађе података, стварајући озбиљне оперативне, финансијске и репутационе последице за погођене организације.

Унутар операције БАРАДАИ рансомвера

BARADAI је дизајниран да инфилтрира системе, шифрује вредне датотеке и врши притисак на жртве да плате откуп. Једном покренут на компромитованој машини, ransomware почиње да шифрује датотеке и додаје екстензију „.BARADAI“ називима захваћених датотека. На пример, датотека под називом „document.pdf“ постаје „document.pdf.BARADAI“, чинећи је недоступном корисницима без одговарајућег кључа за дешифровање.

Након што је процес шифровања завршен, злонамерни софтвер генерише HTML поруку са захтевом за откуп под називом „read_to_decrypt_files.html“. Порука обавештава жртве да је њихова корпоративна мрежа наводно „компромитована и шифрована“ коришћењем криптографских алгоритама RSA-4096 и AES-256. Ови стандарди шифровања се сматрају веома безбедним и практично их је немогуће пробити методама грубе силе.

У поруци о откупу се такође упозорава жртве да не користе софтвер за опоравак података трећих страна или да мењају шифроване датотеке, тврдећи да такве радње могу трајно оштетити податке. Иако су ова упозорења првенствено намењена застрашивању жртава, неправилни покушаји опоравка заиста могу да искомпликују напоре за обнављање података у неким инцидентима са ransomware-ом.

Тактике двоструке изнуде повећавају притисак

БАРАДАИ прати све чешћу стратегију „двоструке изнуде“ коју користе многе модерне групе за рансомвер. Поред шифровања датотека, нападачи тврде да краду осетљиве информације са компромитованих мрежа пре него што примене рансомвер. Према поруци о откупу, украдени подаци могу да укључују поверљиве пословне документе, финансијске записе и личне податке.

Жртвама се прети јавном објавом ових информација путем медија или брокера података ако се захтеви за плаћање игноришу. Ова тактика значајно повећава притисак на организације, посебно на оне које рукују осетљивим подацима о купцима, регулисаним подацима или заштићеном интелектуалном својином.

Да би појачали свој кредибилитет, нападачи нуде да бесплатно дешифрују неколико небитних датотека. Ова демонстрација има за циљ да докаже да је дешифровање технички могуће ако се плати откупнина. Комуникациони канали наведени у поруци укључују имејл адресе, Тор портале и qTox ИД за размену порука. Жртве се додатно подстичу да користе ProtonMail за „безбедну“ комуникацију, док рок од 72 сата покушава да створи хитност упозоравањем да ће захтеви за откупнину порасти након наведеног периода.

Зашто је БАРАДАИ посебно опасан

БАРАДАИ представља значајну претњу јер припада породици рансомвера MedusaLocker, групи познатој по томе што циља предузећа и пословна окружења, а не повремене кућне кориснике. Ове операције се често пажљиво планирају и извршавају након што нападачи добију дубок приступ корпоративној мрежи.

Рансомвер се обично шири путем угрожених RDP (Remote Desktop Protocol) сервиса. Нападачи траже RDP крајње тачке окренуте ка интернету, заштићене слабим или поново коришћеним акредитивима, а затим користе грубу силу да би добили неовлашћени приступ. Једном унутра, крећу се бочно кроз мрежу, угрожавају додатне системе, онемогућавају одбрану и истовремено распоређују рансомвер на више машина.

Фишинг кампање такође остају главни вектор инфекције. Запослени могу несвесно отворити злонамерне прилоге прикривене као фактуре, извештаји или пословна комуникација. Ове датотеке често садрже злонамерне макрое, уграђене скрипте или линкове који воде до преузимања злонамерног софтвера. Компримоване архиве као што су ZIP или RAR датотеке се често користе за заобилажење основних заштита филтрирања е-поште.

Додатне методе инфекције укључују тројански злонамерни софтвер, пиратски софтвер, илегалне алате за активацију, лажна ажурирања софтвера и непоуздане платформе за преузимање. У лоше сегментираним мрежама, једна заражена крајња тачка може брзо довести до широко распрострањеног компромитовања у целој организацији.

Изазови шифровања и опоравка

Опоравак датотека шифрованих помоћу BARADAI-ја без сарадње нападача је генерално нереалан. Ransomware користи јаке криптографске механизме које је немогуће заобићи без приступа приватном кључу за дешифровање којим управљају нападачи. Осим ако не постоји озбиљна грешка у имплементацији у самом малверу, бесплатне опције дешифровања су мало вероватне.

Стручњаци за сајбер безбедност снажно не обећавају плаћање откупнине. Претње често не успевају да обезбеде функционалне алате за дешифровање чак ни након што је уплата примљена. У неким случајевима, жртве постају сталне мете јер их нападачи идентификују као организације које су спремне да се повинују захтевима за изнуду.

Иако је уклањање ransomware-а са заражених система неопходно за спречавање додатних активности шифровања, само уклањање малвера не враћа већ закључане датотеке. Најпоузданија стратегија опоравка остаје коришћење чистих резервних копија сачуваних ван мреже или унутар правилно обезбеђене удаљене инфраструктуре изоловане од главне мреже.

Јачање одбране против БАРАДАИ-ја и сличних претњи

Организације могу значајно смањити своју изложеност ransomware-у применом слојевитих безбедносних контрола и одржавањем дисциплинованих пракси сајбер безбедности. Ефикасна одбрана захтева и техничке мере заштите и свест запослених.

Кључне заштитне мере укључују:

• Спровођење политика јаких лозинки и вишефакторске аутентификације, посебно за RDP и друге сервисе удаљеног приступа.
• Ограничавање или онемогућавање изложеног RDP приступа кад год је то могуће.
• Одржавање редовних офлајн и cloud резервних копија које су изоловане од производних система.
• Брзо примењивање безбедносних закрпа на оперативне системе, апликације и мрежне уређаје.
• Коришћење реномираних решења за заштиту крајњих тачака и праћење мреже способних да открију сумњиво понашање.
• Сегментирање мрежа ради ограничавања бочног кретања током компромиса.
• Обука запослених да препознају фишинг имејлове, злонамерне прилоге и тактике социјалног инжењеринга.

Поред ових мера, организације би требало да усвоје проактивну стратегију реаговања на инциденте. Континуирано праћење, тражење претњи, процене рањивости и тестирање пенетрације могу помоћи у идентификацији слабости пре него што их нападачи искористе. Успостављање и увежбавање плана реаговања на инциденте такође омогућава безбедносним тимовима да ефикасније реагују током напада ransomware-ом, минимизирајући оперативне поремећаје и губитак података.

Растући пејзаж претњи

БАРАДАИ показује како су се операције рансомвера развиле у организоване и веома разарајуће сајбер криминалне подухвате. Комбиновањем јаке енкрипције, крађе података, психолошког притиска и вишеструких вектора инфекције, нападачи максимизирају вероватноћу финансијске добити, док истовремено наносе озбиљну штету жртвама.

Како групе за претрагу рансомвера настављају да усавршавају своје тактике, одржавање робусне хигијене сајбер безбедности постаје неопходно за организације свих величина. Превентивне мере безбедности, едукација запослених, поуздане резервне копије и могућности брзог реаговања на инциденте остају најјача одбрана од претњи попут BARADAI-ја и ширег екосистема рансомвера MedusaLocker.