Црни ТЕНГУ рансомвер

Заштита рачунара, телефона и пословних мрежа од злонамерног софтвера више није опционална. Модерне претње могу закључати критичне датотеке, украсти осетљиве информације, прекинути операције и проузроковати озбиљну финансијску штету у року од неколико минута. Породице рансомвера као што је Black TENGU рансомвер показују како сајбер криминалци комбинују шифровање и крађу података како би извршили притисак на жртве да плате.

Black TENGU Ransomware: Преглед претњи

Црни ТЕНГУ је софистицирани сој ransomware-а који су идентификовали истраживачи безбедности. Након што добије приступ компромитованом уређају, шифрује сачуване датотеке тако да се више не могу нормално отворити. Током процеса шифровања, додаје екстензију „.TENGU“ погођеним датотекама. На пример, датотека под називом „1.png“ постаје „1.png.TENGU“, док се „2.pdf“ преименује у „2.pdf.TENGU“.

Ово понашање преименовања је уобичајени показатељ активности ransomware-а, сигнализирајући да су оригинални подаци трансформисани у нечитљиво стање. Жртве тада не могу да приступе личним документима, базама података, сликама, архивама и другим важним датотекама.

Откупнина и притисак двоструке изнуде

Црни ТЕНГУ такође оставља поруку са захтевом за откуп под називом „_README_TENGU.txt“. Према поруци, нападачи тврде да су се инфилтрирали у мрежу жртве, украли поверљиве податке и шифровали датотеке у систему. У поруци се обећава алат за дешифровање након плаћања и наводи се да ће украдене информације наводно бити избрисане након што се откуп плати.

У поруци се даље упозорава жртве да не покушавају дешифровање или самостални опоравак преко треће стране, тврдећи да би то могло трајно оштетити датотеке. Усмерава комуникацију путем имејл адреса као што су „tengulocker@cyberfear.com“ и „tengunlocker@onionmail.com“, заједно са порталом за ћаскање заснованим на Тору.

Ова тактика одражава растући тренд познат као двострука изнуда. Нападачи се не ослањају само на шифровање; они такође прете да ће јавно објавити украдене податке уколико се не изврши плаћање. Ово ствара додатни притисак на организације које рукују евиденцијом купаца, финансијским документима или власничким информацијама.

Зашто је плаћање откупнине ризично

Иако се жртве могу осећати заробљено, плаћање откупнине носи значајан ризик. Криминалне групе често дају обећања која не испуњавају. Неке жртве никада не добију функционалан алат за дешифровање, док друге поново постају мета након што покажу спремност да плате. Чак и када се датотеке врате, украдени подаци и даље могу бити продати, процурели или задржани за будуће уцене.

Безбеднији пут опоравка је обично враћање чистих резервних копија након што је злонамерни софтвер потпуно уклоњен са погођених система. Тимови за реаговање на инциденте такође би требало да истраже како је дошло до упада како би се спречила поновна инфекција.

Како се црни ТЕНГУ вероватно шири

Као и многе породице ransomware-а, Black TENGU се може ослањати на вишеструке канале инфекције. Претње често користе обмањујуће методе испоруке које варају кориснике да покрену злонамерне датотеке или посете небезбедне веб странице.

Уобичајене технике дистрибуције укључују:

• Лажне имејлове који садрже штетне прилоге или линкове
• Лажна ажурирања софтвера, преваре техничке подршке и злонамерни огласи
• Искоришћавање рањивости застарелог или неажурираног софтвера
• Пиратски софтвер, крекови, генератори кључева и незваничне странице за преузимање
• Заражени УСБ дискови, компромитовани веб-сајтови и мреже за дељење података између корисника

Злонамерни садржаји се често маскирају као обичне ZIP архиве, PDF-ови, скрипте, Office документи или извршне датотеке.

Најбоље безбедносне праксе за јачање одбране од злонамерног софтвера

Снажна превенција комбинује технологију, свест и дисциплиновано одржавање. Системи би увек требало да користе реномирани безбедносни софтвер са омогућеном заштитом у реалном времену. Оперативни системи, прегледачи, додаци и пословне апликације морају се брзо закрпити јер се познате рањивости често користе за распоређивање ransomware-а.

Поуздане резервне копије су једна од најефикаснијих одбрана. Важне податке треба редовно копирати на офлајн или клауд локације које злонамерни софтвер не може директно да измени. Враћање резервних копија такође треба тестирати како би опоравак био могућ током стварне ванредне ситуације.

Опрез са имејловима остаје неопходан. Неочекиване прилоге, хитне захтеве за плаћање, поруке о ресетовању лозинке и непознате линкове треба третирати са сумњом. Организације имају велике користи од обуке за кориснике која учи запослене како функционишу фишинг напади.

Контрола приступа је подједнако важна. Корисници би требало да избегавају рад са администраторским привилегијама осим ако није неопходно, а алати за удаљени приступ као што је RDP треба да буду обезбеђени јаким лозинкама и вишефакторском аутентификацијом. Сегментација мреже може смањити могућност ширења ransomware-а на више уређаја.

Препоручене заштитне навике укључују:

• Редовно ажурирајте сав софтвер и уклоните неподржане апликације
• Одржавајте више резервних копија, укључујући барем једну офлајн копију
• Користите јаке лозинке и омогућите вишефакторску аутентификацију

• Инсталирајте поуздану заштиту крајњих тачака и заштитни зид

• Избегавајте пиратски софтвер и непроверене преузимања

Завршна процена

Црни ТЕНГУ рансомвер представља опасну модерну претњу која комбинује шифровање датотека, слање порука за изнуду и могућу крађу података. Његова употреба преименованих датотека са екстензијом „.ТЕНГУ“ и посебном поруком о откупу показује намерну кампању осмишљену да брзо изврши притисак на жртве. Најјача одбрана је проактивна безбедност: закрпљени системи, опрезни корисници, јака аутентификација, сегментиране мреже и поуздане резервне копије. Организације и појединци који се унапред припреме су далеко отпорнији када рансомвер нападне.