AntiHacker Ransomware

Ang pag-iingat ng personal at data ng negosyo mula sa mga modernong banta ng malware ay hindi na opsyonal, ito ay isang pangangailangan sa pagpapatakbo. Patuloy na pinipino ng mga operator ng Ransomware ang kanilang mga taktika, tool, at social engineering scheme para mapakinabangan ang pagkaantala at pangingikil ng mga pagbabayad. Kahit na ang mas maliliit na organisasyon at mga user sa bahay ay regular na tinatarget, at ang pagbawi ay maaaring mahirap o imposible nang walang paghahanda. Ang AntiHacker Ransomware, isang miyembro ng pamilyang Xorist, ay eksaktong banta.

PANGKALAHATANG-IDEYA at LINEAGE ng BANTA

Ang AntiHacker ay isang malisyosong programa na natuklasan ng mga mananaliksik sa seguridad ng impormasyon at nakategorya sa loob ng pamilya ng Xorist ransomware. Ang mga banta na nakabatay sa Xorist ay karaniwang binuo mula sa isang kit framework na maaaring i-customize ng mga umaatake, binabago ang ipinapakitang mensahe ng ransom, extension ng file, mga elemento ng wika, at iba pang mga parameter. Sinusunod ng AntiHacker ang pamilyar na playbook ng Xorist: ine-encrypt nito ang data ng biktima at pagkatapos ay humihingi ng bayad kapalit ng sinasabing decryption key.

PAG-UUGALI AT PAGMAMAMARA NG FILE ENCRYPTION

Sa sandaling nakompromiso ng AntiHacker ang isang system, naghahanap ito ng data na naa-access ng user sa mga lokal na drive at potensyal na namamapa rin sa mga lokasyon ng network. Ang isang malawak na hanay ng mga uri ng file ay naka-target, mga dokumento, mga imahe, mga archive, mga file na multimedia, at iba pang mahalagang mga tindahan ng data. Ang bawat naka-encrypt na item ay pinapalitan ng pangalan sa pamamagitan ng pagdaragdag ng string na '.antihacker2017' sa dulo ng orihinal na filename. Halimbawa, ang isang file na orihinal na pinangalanang '1.png' ay nagiging '1.png.antihacker2017'; Ang '2.pdf' ay nagiging '2.pdf.antihacker2017'; at umuulit ang pattern na ito sa lahat ng naprosesong file. Ang idinagdag na extension ay nagsisilbi ng dalawang layunin: ito ay biswal na senyales ng kompromiso sa biktima at tinutulungan ang ransomware na matukoy kung aling mga item ang nahawakan na nito.

RANSOM NOTE, POP-UPS, at WALLPAPER MESSAGING

Pagkatapos makumpleto ang gawaing pag-encrypt nito, binabago ng AntiHacker ang desktop wallpaper ng biktima at nag-drop ng ransom note sa dalawang magkatulad na format: isang pop-up window at isang text file na pinangalanang 'КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt' (Russian para sa 'PTHO FIWLESS.txt'). Ang nilalaman ng mensahe na ipinakita sa pop-up at ang text file ay pareho. Gayunpaman, ang variant ng wallpaper ay may kasamang karagdagang wika ng social engineering, isang dapat na katwiran na nangyari ang pag-atake dahil bumisita ang user sa mga partikular na website na nakatuon sa pang-adulto o ilegal. Ang nakakahiyang anggulo na ito ay idinisenyo upang pilitin ang mga biktima na magbayad nang mabilis at tahimik.

CHARACTER ENCODING QUIRK

Sa mga system na hindi gumagamit ng Cyrillic character set, ang ransom text na ipinapakita sa pop-up ay maaaring lumabas bilang hindi nababasang kalokohan. Ang mga biktima, samakatuwid, ay maaaring makakita ng isang sira na window ng mensahe ngunit makikita pa rin ang mga nababasang tagubilin sa loob ng nahulog na text file. Madalas na hindi napapansin ng mga umaatake ang mga detalye ng lokalisasyon; Ang mga tagapagtanggol ay maaaring gumamit ng mga naturang artifact upang matulungan ang mga insidente na nauugnay sa cluster.

COERCION MECHANICS: MGA PANGUNAHING LIMITASYON SA PAGPASOK AT MGA PAGHAHINGIN SA BANTA

Ang mga tagubilin sa ransom ay nagsasaad na ang mga biktima ay dapat makipag-ugnayan sa mga umaatake upang makakuha ng isang decryption key. Nagpapataw din sila ng high-stress constraint: 50 na pagtatangka lang na ipasok ang susi ang pinapayagan, pagkatapos ay sinasabi ng mensahe na ang naka-encrypt na data ay permanenteng mawawala. Iginiit ng mga karagdagang babala na ang paggamit ng mga tool sa seguridad, pag-reboot, o pag-shut down sa makina ay magiging hindi ma-decrypt ang mga file. Ang mga taktika ng pananakot na ito ay karaniwan sa mga playbook ng ransomware at naglalayong pigilan ang mga user na humingi ng propesyonal na tulong o subukan ang mga ligtas na pamamaraan ng remediation.

BAKIT RISKY ANG PAGBAYAD NG RANSOM

Walang garantiya na ang mga cybercriminal sa likod ng AntiHacker (o anumang ransomware) ay maghahatid ng gumaganang solusyon sa pag-decryption pagkatapos ng pagbabayad. Ang mga biktimang nagbabayad ay kadalasang walang natatanggap, nakakatanggap ng sirang susi, o nagiging target ng paulit-ulit na pangingikil. Pinopondohan din ng pagbabayad ang mga patuloy na operasyong kriminal at nagbibigay ng insentibo sa mga karagdagang pag-atake. Ang maingat na paninindigan ay ang pag-iwas sa pagbabayad hangga't maaari at tumuon sa mga daanan ng pagbawi sa ilalim ng iyong kontrol.

MGA REALIDAD SA PAGBAWI

Ang pag-alis ng AntiHacker mula sa isang nahawaang sistema ay maaaring huminto sa karagdagang pag-encrypt ng file, ngunit hindi nito nade-decrypt ang data na na-lock na. Ang pinaka-maaasahang ruta sa pagbawi ay ang pagpapanumbalik ng malinis na mga kopya ng mga apektadong file mula sa mga backup na nakahiwalay, offline, o kung hindi man ay hindi maabot ng malware. Kung walang mabubuhay na pag-backup, ang mga opsyon sa pagbawi ng data ay magiging lubhang napipigilan.

MGA VECTOR NG PANGUNAHING IMPEKSIYON

Ang mga may-akda ng ransomware ay umaasa sa parehong malawak na ecosystem ng pamamahagi na nagpapalakas ng iba pang mga kategorya ng malware. Ang AntiHacker ay walang pagbubukod. Ang mga umaatake ay madalas na nagkukunwari ng mga payload bilang lehitimong software o ibinu-bundle ang mga ito ng mga basag o pirated na programa, dokumento, o installer. Ang pagbubukas lang ng booby-trap na file ay maaaring mag-trigger ng pag-download o execution chain.

• Mga pang-akit sa phishing at social engineering na inihahatid sa pamamagitan ng email, pribadong mensahe, o direktang mensahe na may mga nakakahamak na attachment o naka-embed na link.
• Drive-by o mapanlinlang na mga pag-download na sinimulan mula sa nakompromiso o nakakahamak na mga website nang walang malinaw na pahintulot ng user.
• Mga Trojan loader at backdoors na tahimik na kumukuha at naglulunsad ng ransomware sa sandaling naka-embed.
• Hindi mapagkakatiwalaang mga mapagkukunan ng pag-download tulad ng mga freeware na site, third-party na hosting page, at Peer-to-Peer (P2P) file-sharing network.
• Mga online scam at malvertising campaign na nagre-redirect sa mga user patungo sa mga exploit kit o rogue payload.
• Mga tool sa pag-activate ng ilegal na software ('cracks' / keygens) at pekeng software update na nag-i-install ng malware sa halip na mga lehitimong patch.

PANGKALAHATANG-IDEYA NG DEFENSIVE STRATEGY

Ang mabisang ransomware defense ay nagpapatong ng mga tao, proseso, at teknolohiya. Hindi ka maaaring umasa sa iisang proteksiyon na kontrol; ipagpalagay na hindi bababa sa isang layer ang mabibigo. Pagsamahin ang kamalayan ng user, mga hardened na configuration, mahigpit na pag-patch, matatag na mga kasanayan sa pag-backup, at malakas na kakayahan sa pagtuklas/pagtugon upang mabawasan ang posibilidad at ang epekto ng panghihimasok sa istilong AntiHacker.

• Panatilihin ang mga backup ng mahalagang data.
• Panatilihing ganap na na-update ang mga operating system, application, at tool sa seguridad; ilapat kaagad ang mga patch, lalo na para sa malayuang pag-access at mga serbisyo sa pagbabahagi ng file.
• Gumamit ng mga kagalang-galang na solusyon sa anti-malware / endpoint detection & response (EDR) na may behavioral ransomware detection at mga awtomatikong rollback na kakayahan kung saan sinusuportahan.
• Ipatupad ang mga karapatan ng user na hindi gaanong may pribilehiyo; magpatakbo ng mga pang-araw-araw na gawain sa ilalim ng mga hindi-admin na account at paghigpitan ang access sa pagsulat sa mga nakabahaging tindahan ng data.
• I-segment ang mga network at limitahan ang paggalaw sa gilid; ihiwalay ang mga backup na repository at kritikal na server sa magkakahiwalay na tier ng pag-access.
• Nangangailangan ng multi-factor authentication (MFA) para sa malayuang pag-log in, mga privileged na aksyon, at mga backup na management console.

KONGKLUSYON

Inilalarawan ng AntiHacker Ransomware kung paano iniangkop ng mga banta ng aktor ang mga pamilyang nakabatay sa kit tulad ng Xorist upang gumawa ng mga makapangyarihan, naka-target sa rehiyon na mga iskema ng pangingikil. Ang pag-encrypt ng data nito, pag-tag ng filename, mga artifact ng multilinggwal na ransom note, at mapilit na pagmemensahe ay lahat ay inihanda upang humimok ng pagbabayad. Gayunpaman, ang pinakamalakas na hakbang ay nananatiling paghahanda: mga nakahiwalay na backup, layered na mga depensa, matalinong mga user, at isang disiplinadong plano sa pagtugon. Ang mga organisasyon at indibidwal na namumuhunan sa mga pag-iingat na ito ay maaaring gawing isang maaaring mabawi na insidente ang isang posibleng sakuna na kaganapan sa ransomware.