Mortar Ransomware
Злонамерни софтвер и даље је једна од најзначајнијих претњи сајбер безбедности са којима се суочавају организације и појединци. Модерни напади ransomware-а могу да поремете пословне операције, изазову озбиљне финансијске губитке и угрозе осетљиве информације у року од неколико сати. Како групе ransomware-а постају све софистицираније, одржавање јаких безбедносних контрола и проактивне одбране је неопходно за заштиту вредних података и обезбеђивање континуитета рада.
Преглед садржаја
Преглед Mortar Ransomware-а
Мортар Рансомвер је сој злонамерног софтвера који шифрује датотеке и који су идентификовали истраживачи сајбер безбедности. Претња је првенствено дизајнирана да циља корпоративна окружења, где нападачи настоје да максимизирају оперативне поремећаје и повећају притисак на жртве да плате откупнину. Једном када се распореди унутар угрожене мреже, Мортар шифрује датотеке и оставља поруку са захтевом за откупнину, именовану према јединственом идентификатору жртве, у формату „README-[ИД жртве].txt“.
Карактеристична карактеристика овог ransomware-а је његово понашање при преименовању датотека. Током шифровања, Mortar додаје јединствени ИД жртве свакој погођеној датотеци. На пример, датотека која је првобитно названа „1.png“ може постати „1.png.4RcrXfvVksS5ACA“, док документ као што је „2.pdf“ може бити трансформисан у „2.pdf.4RcrXfvVksS5ACA“. Исти идентификатор се затим користи у називу датотеке са захтевом за откуп, стварајући директну везу између жртве и напада.
Процес шифровања и захтеви за откуп
Након што се инфилтрира у мрежу, Мортар шифрује широк спектар података, укључујући документе, базе података, фотографије и друге вредне пословне датотеке. У поруци о откупу се тврди да су нападачи користили алгоритме за шифровање AES-256 и RSA-2048 да би закључали информације жртве. Иако су такве тврдње уобичајене међу оператерима ransomware-а, општи циљ остаје исти: учинити податке недоступним без одговарајућег кључа за дешифровање.
У поруци са захтевом за откуп жртве се обавештавају да је једини начин да поврате своје датотеке куповина алата за дешифровање од нападача. Уместо да наведу фиксни износ откупнине, криминалци усмеравају жртве на портал заснован на Тору и дају им приступне податке који се састоје од корисничког имена и лозинке. Овај приступ омогућава нападачима да појединачно преговарају о плаћањима и потенцијално прилагоде захтеве за откупнину на основу перципиране вредности организације жртве.
Да ли се шифроване датотеке могу опоравити?
Опоравак датотека шифрованих ransomware-ом је често изузетно тежак без приступа механизму за дешифровање нападача. У ретким ситуацијама, истраживачи сајбер безбедности откривају грешке у имплементацији или криптографске слабости које омогућавају креирање бесплатних дешифратора. Међутим, такви случајеви су ретки, а жртве погођене добро дизајнираним ransomware-ом често се суочавају са ограниченим могућностима опоравка.
Плаћање откупнине се генерално сматра одлуком високог ризика. Сајбер криминалци нису у обавези да обезбеде функционалан алат за дешифровање након што приме уплату. Многе жртве су доживеле ситуације у којима су средства пребачена, али алати за опоравак никада нису испоручени или обезбеђени алати нису успели да врате податке. Сходно томе, плаћање може довести до додатног финансијског губитка без гарантовања опоравка датотека.
Вектори инфекције и технике напада
Малвер може доћи до жртава путем неколико метода напада које се обично користе у кампањама рансомвера. Фишинг остаје један од најчешћих вектора инфекције. Нападачи дистрибуирају имејлове који садрже злонамерне прилоге као што су компресоване архиве, извршне датотеке или документи Microsoft Office-а са уграђеним штетним макроима. Једном отворене, ове датотеке могу покренути процес распоређивања рансомвера.
Додатне руте инфекције укључују тројанизовани софтвер, лажне механизме ажурирања, злонамерне рекламне кампање, непоуздане портале за преузимање и пиратске апликације дистрибуиране путем незваничних канала. Ове методе искоришћавају поверење корисника и неадекватне безбедносне контроле како би добиле приступ системима.
Код циљаних корпоративних упада, актери претњи могу усвојити напредније технике. Нападачи често покушавају да угрозе сервисе протокола за удаљену радну површину (RDP) путем напада грубом силом на слабе акредитиве. Такође могу искористити незакрпљене рањивости у системима окренутим интернету како би стекли почетно упориште пре него што се крећу бочно преко мреже и истовремено инсталирају ransomware на више уређаја.
Реаговање на инфекцију малтера
Када се Мортар открије, његово тренутно сузбијање је кључно. Уклањање рансомвера са погођених система помаже у спречавању даљих активности шифровања и смањује ризик од додатне штете у окружењу. Међутим, уклањање злонамерног софтвера не треба мешати са опоравком података. Уклањање злонамерног програма не враћа аутоматски шифроване датотеке.
Најпоузданији метод опоравка остаје враћање чистих резервних копија креираних пре него што се напад догодио. Резервне копије треба чувати одвојено од производних система како би се спречило да ransomware шифрује спремишта резервних копија током инцидента. Организације које одржавају безбедне, изоловане резервне копије су обично у много бољој позицији да се опораве од ransomware напада без сукоба са сајбер криминалцима.
Изградња јаке одбране од ransomware-а
Ефикасна заштита од ransomware-а захтева слојевиту безбедносну стратегију која комбинује технологију, свест корисника и проактивно одржавање. Организације би требало редовно да ажурирају оперативне системе, апликације и мрежне уређаје како би елиминисале рањивости које нападачи често искоришћавају. Снажне политике аутентификације, посебно за услуге удаљеног приступа, могу значајно смањити ризик од неовлашћеног уласка.
Подједнако важан је и развој робусне стратегије прављења резервних копија. Критичне податке треба копирати на више локација, укључујући офлајн или одвојене складишне просторе којима се не може приступити из угрожених система. Редовно тестирање резервних копија осигурава да процедуре обнављања исправно функционишу током ванредних ситуација.
Кључне безбедносне праксе укључују:
- Одржавање честих резервних копија које се чувају на одвојеним и заштићеним локацијама.
- Примена безбедносних ажурирања и закрпа чим постану доступне.
- Коришћење јаких, јединствених лозинки и омогућавање вишефакторске аутентификације.
- Ограничавање непотребних услуга даљинског приступа и праћење покушаја пријављивања.
- Обука запослених да препознају фишинг имејлове и сумњиве прилоге.
- Примена реномираних решења за заштиту крајњих тачака и праћење мреже.
Организације би такође требало да усвоје принцип најмањих привилегија, додељујући корисницима само приступ неопходан за њихове улоге. Континуирано праћење, безбедносне ревизије и планирање реаговања на инциденте додатно јачају отпорност на кампање рансомвера као што је Mortar. Комбинација превентивних контрола, могућности брзог откривања и поузданих система за прављење резервних копија остаје најефикаснија одбрана од модерних претњи шифровањем датотека.
Закључак
Mortar Ransomware представља озбиљну претњу корпоративним мрежама због своје способности да шифрује вредне податке, омета операције и врши притисак на жртве да плате за дешифровање. Додавањем јединствених идентификатора шифрованим датотекама и усмеравањем жртава на наменски портал за откуп, нападачи демонстрирају структуриран и циљан приступ. Иако опоравак шифрованих датотека може бити изазован, организације које дају приоритет јаким праксама сајбер безбедности, одржавају изоловане резервне копије и проактивно решавају рањивости могу значајно смањити утицај инцидената са ransomware-ом и побољшати своју укупну безбедносну позицију.
System Messages
The following system messages may be associated with Mortar Ransomware:
-------------------------------------------- |
