Theft рансомвера

Модерно окружење претњи је неумољиво. Сајбер криминалци стално усавршавају своје алате како би искористили неспремне кориснике. Међу најштетнијим од ових претњи је рансомвер, злонамерни софтвер који шифрује податке и изнуђује новац од жртава. Једна таква варијанта у настајању позната је као Theft Ransomware, за који је већ примећено да прави хаос на неслутећим системима.

Шта чини крађу Ransomware-а опасним

Theft Ransomware је нови сој повезан са озлоглашеном породицом Dharma ransomware-а, групом познатом по томе што циља и појединце и организације. Након што се инфилтрира у уређај, злонамерни софтвер шифрује датотеке и преименује их додавањем:

• Јединствени идентификациони број жртве
• Адреса е-поште нападача
• Екстензија „.theft“

На пример, „1.png“ постаје „1.png.id-9ECFA84E.[datatheft@tuta.io].theft.“

Жртве се затим суочавају са порукама са захтевом за откуп у облику текстуалних датотека („info.txt“) и искачућег прозора. Иако је текстуална порука сажета и пружа само контакт податке, искачући прозор нуди више детаља, укључујући уверавање да је опоравак података могућ ако се откупнина плати. Нападачи чак нуде и „доказ о дешифровању“ тако што омогућавају бесплатно враћање три мала, некритична фајла.

Додајући притисак, криминалци тврде да су украли осетљиве пословне податке и прете да ће их објавити ако плаћање буде одбијено.

Техничке карактеристике претње

Као и друге варијанте засноване на Дхарми, Theft Ransomware не закључава целе системе, већ шифрује локалне и мрежно дељене датотеке. Злонамерни софтвер активно:

• Завршава процесе везане за датотеке које су у употреби (базе података, читачи итд.)
• Копира се на путању %LOCALAPPDATA% и региструје перзистенцију путем кључева за покретање
• Подешава се да се аутоматски покреће са поновним покретањем система
• Брише копије сенке запремине како би се спречио лак опоравак

Злонамерни софтвер такође прикупља податке о геолокацији како би утврдио да ли да настави са шифровањем, евентуално искључујући одређене регионе.

Како се инфекција шири

Крађа Ransomware користи више тактика инфилтрације, а најчешће су слабо обезбеђене RDP (Remote Desktop Protocol) услуге. Напади грубом силом и напади речником на слабо заштићене налоге су честа улазна тачка. Једном када уђе унутра, злонамерни софтвер може чак и да онемогући заштитне зидове како би олакшао свој рад.

Други познати дистрибутивни канали укључују:

Фишинг и друштвени инжењеринг – Злонамерни прилози или линкови у имејловима, директним порукама и објавама.

Тројанци и задња врата – Користе се за тихо уклањање ransomware-а.

Злонамерно оглашавање и аутоматско преузимање – покреће се једноставном посетом угроженој веб страници.

Сумњиви извори софтвера – Пиратски алати, бесплатни пакети софтвера и лажна ажурирања.

Преносиви медији и локалне мреже – Омогућавање ширења злонамерног софтвера интерно након што се појави на систему.

Зашто је плаћање откупнине ризична опклада

Дешифровање датотека шифрованих методом Theft без кључа нападача је готово немогуће. Док су неке варијанте ransomware-а мањкаве, претње засноване на Dharma-и су обично солидно изграђене. Важно је напоменути да плаћање откупнине не гарантује опоравак, многе жртве остају празних руку чак и након трансфера средстава. Штавише, плаћање само финансира даље криминалне операције.

Јачање ваше одбране од ransomware-а

Најбољи начин за борбу против Theft Ransomware-а је превенција. Пошто уклањање малвера неће аутоматски вратити шифроване датотеке, корисници се морају фокусирати на отпорност и проактивну одбрану. Кључне праксе које сваки корисник треба да усвоји су:

• Редовне резервне копије – Чувајте копије важних датотека на више безбедних локација, као што су офлајн дискови и клауд сервиси који нису мапирани на заражени систем.
• Ажурирајте софтвер и системе – Примените закрпе да бисте затворили рањивости које ransomware искоришћава.
• Користите јаку аутентификацију – Обезбедите RDP сервисе јединственим, сложеним лозинкама и омогућите вишефакторску аутентификацију.
• Будите опрезни са имејловима и линковима – Не отварајте неочекиване прилоге или кликајте на непознате линкове, чак и ако изгледају легитимно.
• Ограничи администраторска права – Ограничите привилегије да бисте смањили утицај потенцијалног извршавања злонамерног софтвера.
• Инсталирајте поуздане безбедносне алате – Користите анти-малвер решења са функцијама заштите од рансомвера.

• Онемогућите макрое и скрипте – Многи напади рансомвера се покрећу путем Офис докумената или скрипти.

• Сегментирајте мреже – Спречите ширење злонамерног софтвера бочно кроз пословна окружења.

Завршне мисли

Крађа софтвера за изнуду истиче континуирану еволуцију породице Dharma и њену трајну улогу у глобалним кампањама софтвера за изнуду. Његова комбинација шифровања, крађе података и изнуде чини га посебно штетним. Пошто је опоравак датотека често немогућ без чистих резервних копија, једина права одбрана је слојевита превенција, јака сајбер хигијена и поуздане стратегије опоравка.