Rabattoffert för flera licenser
Hotdatabas Ransomware Mortar Ransomware

Mortar Ransomware

Med Mezo år Ransomware
Översätt till:

Skadlig programvara fortsätter att vara ett av de mest betydande cybersäkerhetshoten som både organisationer och individer står inför. Moderna ransomware-attacker kan störa affärsverksamheten, orsaka allvarliga ekonomiska förluster och äventyra känslig information inom några timmar. I takt med att ransomware-grupper blir alltmer sofistikerade är det viktigt att upprätthålla starka säkerhetskontroller och proaktiva försvar för att skydda värdefulla data och säkerställa driftskontinuitet.

Mortar Ransomware i korthet

Mortar Ransomware är en filkrypterande skadlig kod som identifierats av cybersäkerhetsforskare. Hotet är främst utformat för att rikta in sig på företagsmiljöer, där angripare försöker maximera driftstörningar och öka trycket på offren att betala en lösensumma. När Mortar väl har distribuerats i ett komprometterat nätverk krypterar det filer och lämnar efter sig en lösensumma som är namngiven enligt offrets unika identifierare, i formatet 'README-[offerets ID].txt'.

Ett utmärkande kännetecken för denna ransomware är dess beteende vid namnbyte av filer. Under kryptering lägger Mortar till ett unikt offer-ID till varje drabbad fil. Till exempel kan en fil som ursprungligen hette '1.png' bli '1.png.4RcrXfvVksS5ACA', medan ett dokument som '2.pdf' kan omvandlas till '2.pdf.4RcrXfvVksS5ACA'. Samma identifierare används sedan i filnamnet i lösensumman, vilket skapar en direkt koppling mellan offret och attacken.

Krypteringsprocess och krav på lösen

Efter att ha infiltrerat ett nätverk krypterar Mortar ett brett spektrum av data, inklusive dokument, databaser, fotografier och andra värdefulla affärsfiler. I lösensumman hävdas att angriparna använde krypteringsalgoritmerna AES-256 och RSA-2048 för att låsa offrets information. Även om sådana påståenden är vanliga bland ransomware-operatörer, förblir det övergripande målet detsamma: att göra data oåtkomliga utan en motsvarande dekrypteringsnyckel.

Lösensumman informerar offren om att det enda sättet att återställa deras filer är att köpa ett dekrypteringsverktyg från angriparna. Istället för att ange ett fast lösensumma hänvisar brottslingarna offren till en Tor-baserad portal och tillhandahåller inloggningsuppgifter bestående av ett användarnamn och lösenord. Denna metod gör det möjligt för angriparna att förhandla om betalningar individuellt och eventuellt justera lösensumman baserat på offrets organisations upplevda värde.

Kan krypterade filer återställas?

Att återställa filer som krypterats av ransomware är ofta extremt svårt utan tillgång till angriparnas dekrypteringsmekanism. I sällsynta fall upptäcker cybersäkerhetsforskare implementeringsfel eller kryptografiska svagheter som möjliggör skapandet av gratis dekrypteringsprogram. Sådana fall är dock ovanliga, och offer som drabbats av väl utformad ransomware har ofta begränsade återställningsalternativ.

Att betala lösensumman anses generellt vara ett högriskbeslut. Cyberbrottslingar är inte skyldiga att tillhandahålla ett fungerande dekrypteringsverktyg efter att ha mottagit betalning. Många offer har upplevt situationer där pengar har överförts, men återställningsverktyg aldrig har levererats, eller där de tillhandahållna verktygen inte lyckats återställa data. Följaktligen kan betalning resultera i ytterligare ekonomisk förlust utan att garantera filåterställning.

Infektionsvektorer och attacktekniker

Murbruk kan nå offer genom flera attackmetoder som vanligtvis används i ransomware-kampanjer. Nätfiske är fortfarande en av de vanligaste infektionsvektorerna. Angripare distribuerar e-postmeddelanden som innehåller skadliga bilagor, såsom komprimerade arkiv, körbara filer eller Microsoft Office-dokument inbäddade med skadliga makron. När dessa filer öppnas kan de starta distributionsprocessen för ransomware.

Ytterligare infektionsvägar inkluderar trojanska program, falska uppdateringsmekanismer, skadliga reklamkampanjer, opålitliga nedladdningsportaler och piratkopierade program som distribueras via inofficiella kanaler. Dessa metoder utnyttjar användarnas förtroende och otillräckliga säkerhetskontroller för att få åtkomst till system.

Vid riktade företagsintrång kan hotaktörer använda mer avancerade tekniker. Angripare försöker ofta kompromettera RDP-tjänster (Remote Desktop Protocol) genom brute-force-attacker mot svaga autentiseringsuppgifter. De kan också utnyttja opatchade sårbarheter i internetanslutna system för att få ett första fotfäste innan de rör sig lateralt över nätverket och distribuerar ransomware på flera enheter samtidigt.

Reaktion på en murbruksinfektion

När Mortar har upptäckts är omedelbar inneslutning avgörande. Att ta bort ransomware från berörda system hjälper till att förhindra ytterligare krypteringsaktivitet och minskar risken för ytterligare skador i hela miljön. Borttagning av skadlig kod bör dock inte förväxlas med dataåterställning. Att eliminera det skadliga programmet återställer inte automatiskt krypterade filer.

Den mest tillförlitliga återställningsmetoden är fortfarande att återställa rena säkerhetskopior som skapades innan attacken inträffade. Säkerhetskopior bör lagras separat från produktionssystem för att förhindra att ransomware krypterar säkerhetskopior under en incident. Organisationer som upprätthåller säkra, isolerade säkerhetskopior har vanligtvis en mycket starkare position att återhämta sig från ransomware-attacker utan att behöva ingripa med cyberbrottslingar.

Bygga starka försvar mot ransomware

Effektivt skydd mot ransomware kräver en säkerhetsstrategi i flera lager som kombinerar teknik, användarmedvetenhet och proaktivt underhåll. Organisationer bör regelbundet uppdatera operativsystem, applikationer och nätverksenheter för att eliminera sårbarheter som angripare ofta utnyttjar. Starka autentiseringspolicyer, särskilt för fjärråtkomsttjänster, kan avsevärt minska risken för obehörig åtkomst.

Lika viktigt är utvecklingen av en robust säkerhetskopieringsstrategi. Kritisk data bör kopieras till flera platser, inklusive offline- eller frånkopplad lagring som inte kan nås från komprometterade system. Regelbunden testning av säkerhetskopiering säkerställer att återställningsprocedurerna fungerar korrekt under en nödsituation.

Viktiga säkerhetsrutiner inkluderar:

  • Upprätthåll regelbundna säkerhetskopior som lagras på separata och skyddade platser.
  • Installera säkerhetsuppdateringar och patchar så snart de blir tillgängliga.
  • Använda starka, unika lösenord och aktivera flerfaktorsautentisering.
  • Begränsa onödiga fjärråtkomsttjänster och övervaka inloggningsförsök.
  • Utbilda anställda i att känna igen nätfiskemejl och misstänkta bilagor.
  • Implementera välrenommerade lösningar för endpoint-skydd och nätverksövervakning.

Organisationer bör också anta principen om minsta möjliga behörighet, vilket innebär att användarna endast får den åtkomst som krävs för deras roller. Kontinuerlig övervakning, säkerhetsrevisioner och planering av incidenthantering stärker ytterligare motståndskraften mot ransomware-kampanjer som Mortar. En kombination av förebyggande kontroller, snabba detekteringsfunktioner och pålitliga säkerhetskopieringssystem är fortfarande det mest effektiva försvaret mot moderna filkrypteringshot.

Slutsats

Mortar Ransomware utgör ett allvarligt hot mot företagsnätverk på grund av dess förmåga att kryptera värdefull data, störa verksamheten och pressa offer att betala för dekryptering. Genom att lägga till unika identifierare till krypterade filer och hänvisa offren till en dedikerad lösenportal, visar angriparna en strukturerad och riktad strategi. Även om det kan vara utmanande att återställa krypterade filer, kan organisationer som prioriterar starka cybersäkerhetspraxis, upprätthåller isolerade säkerhetskopior och proaktivt åtgärdar sårbarheter avsevärt minska effekterna av ransomware-incidenter och förbättra sin övergripande säkerhetsställning.

System Messages

The following system messages may be associated with Mortar Ransomware:

--------------------------------------------
| What happened to your files?
--------------------------------------------

We breached your corporate network and encrypted the data on your computers. The encrypted data includes documents, databases, photos and more - all were encrypted using a military grade encryption algorithms (AES-256 and RSA-2048). You cannot access those files right now. But don't worry!

You can still get those files back and be up and running again in no time.

---------------------------------------------
| How to contact us to get your files back?
---------------------------------------------

The only way to restore your files is by purchasing a decryption tool loaded with a private key we created specifically for your network.

Once run on an effected computer, the tool will decrypt all encrypted files - and you can resume day-to-day operations, preferably with better cyber security in mind. If you are interested in purchasing the decryption tool contact us at hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion.

!IMPORTANT!
TO RESTORE YOUR FILES CONTACT US VIA TOR BROWSER

WEBSITE: hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion
USERNAME: sid
PASSWORD: 4RcrXfvVksS5ACA

BACKUP LINK TO SUPPORT TEAM: hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion
!!!!!!!!!!!

Trendigt

Din Microsoft Outlook e-postklient är föråldrad...

Nätfiske, Spam
E-postmeddelandena "Din Microsoft Outlook-e-postklient är föråldrad" är nätfiskemeddelanden som är utformade för att se ut som officiella säkerhetsmeddelanden från Microsoft Outlook. E-postmeddelandena varnar mottagarna för att deras e-postklient påstås vara föråldrad och hävdar att om de inte uppdateras omedelbart kan det leda till förlust av e-postmeddelanden, kontakter, kalendrar, möten och...

Mest sedda

Läser in...