Gotham Ransomware

Рансомвер и даље је једна од најштетнијих претњи злонамерног софтвера са којима се суочавају појединци и организације. Шифровањем критичних датотека и података и захтевањем плаћања за њихово објављивање, ови напади могу проузроковати велике поремећаје, финансијске губитке, па чак и дугорочне пропусте података. Заштита од таквих претњи захтева не само јаку техничку одбрану, већ и јасно разумевање како рансомвер функционише и како се шири.

GOTHAM Ransomware на први поглед

GOTHAM Ransomware је недавно примећен сој повезан са породицом GlobeImposter ransomware. Када се инфилтрира у систем, шифрује датотеке и додаје им екстензију „.GOTHAM“. На пример, датотека под називом „report.pdf“ постаје „report.pdf.GOTHAM“.

Након завршетка процеса шифровања, злонамерни софтвер оставља поруку са захтевом за откуп у HTML датотеци под називом „how_to_back_files.html“. Порука обавештава жртве да су њихови подаци закључани и захтева плаћање откупнине у Биткоинима. Да би додали кредибилитет, нападачи дозвољавају „тест дешифровање“ једне датотеке која испуњава одређене критеријуме пре него што жртве изврше било какво плаћање.

Порука са захтевом за откуп такође упозорава на преименовање датотека или покушај коришћења алата за опоравак података трећих страна, претећи да би такве радње могле трајно учинити податке недоступним.

Зашто је плаћање откупнине ризична опклада

Иако су жртве приморане да изврше плаћања, не постоји гаранција да ће нападачи обезбедити кључ или алат за дешифровање. Сајбер криминалци често узму откупнину и нестану, остављајући датотеке неупотребљивим. Штавише, директно плаћање средстава подстиче криминалне активности и финансира даље сајбер нападе.

Дешифровање датотека шифрованих ransomware-ом је ретко могуће осим ако истраживачи не идентификују недостатке у механизму шифровања. У већини случајева, једини начин за враћање датотека је из безбедних, екстерних резервних копија. Важно је напоменути да уклањање GOTHAM ransomware-а са уређаја може зауставити додатно шифровање, али неће дешифровати већ угрожене датотеке.

Тактике дистрибуције GOTHAM Ransomware-а

Као и многе варијанте ransomware-а, GOTHAM се дистрибуира кроз различите канале инфекције дизајниране да искористе поверење корисника и системске рањивости. Уобичајене методе дистрибуције укључују:

• Злонамерни прилози или линкови послати путем фишинг кампања.
• Преузимања без додатних информација покренута са компромитованих или обмањујућих веб локација.
• Тројанци или програми за учитавање који испоручују ransomware софтвер у позадини.
• Злонамерно оглашавање и лажне онлајн понуде, често прикривене као ажурирања софтвера или преузимања медија.

• Мреже за дељење датотека између корисника, сајтови за преузимање бесплатног софтвера и незваничне услуге хостинга.

Поред тога, ransomware попут GOTHAM-а може се ширити унутар локалних мрежа и путем преносивих уређаја као што су USB дискови, повећавајући његов потенцијални утицај на пословна или организациона окружења.

Изградња јаче одбране од ransomware-а

Да би смањили ризик од напада ransomware-а, корисници и организације треба да усвоје вишеслојне одбрамбене стратегије. У наставку су наведене основне праксе за јачање укупне отпорности:

Одржавајте поуздане резервне копије

• Чувајте резервне копије на више безбедних локација, укључујући уређаје ван мреже и сервисе у облаку.
• Обезбедите да се резервне копије редовно тестирају на интегритет и могућност опоравка.

Системи за ажурирање и закрпе

• Благовремено примените ажурирања оперативног система и софтвера како бисте затворили безбедносне рупе.
• Онемогућите или деинсталирајте застареле апликације које више не добијају подршку.

Будите опрезни са имејловима и линковима

• Проверите легитимност пошиљалаца пре него што отворите прилоге или кликнете на линкове.
• Будите посебно опрезни са непожељним понудама, фактурама или хитним упозорењима.

Користите робусне безбедносне алате

• Примените напредна решења за заштиту од злонамерног софтвера и детекцију крајњих тачака способна да идентификују понашање ransomware-а.
• Омогућите заштитне зидове и системе за детекцију упада да блокирају злонамерни саобраћај.

Завршне мисли

ГОТАМ рансомвер илуструје колико су упорне и деструктивне постале модерне породице рансомвера. Његове методе шифровања, захтеви за откупом и ослањање на доказане векторе инфекције истичу сталну потребу за проактивном сајбер безбедношћу. Плаћање откупа је коцкање без гаранције опоравка, превенције, будности, а отпорне резервне копије остају најефикаснија одбрана.