Moneybird Ransomware
Ang Iranian hacker group na Agrius, na kilala rin bilang Pink Sandstorm at dating Americium, ay nakabuo kamakailan ng bagong strain ng ransomware na tinatawag na Moneybird. Ang nagbabantang malware na ito ay naobserbahang partikular na nagta-target sa mga organisasyong Israeli, na nagpapahiwatig ng makabuluhang pagbabago sa mga taktika ni Agrius.
Talaan ng mga Nilalaman
Pinalawak ng mga Cybercriminal ang Kanilang Nagbabantang Arsenal
Si Agrius ay may kasaysayan ng pagsasagawa ng mga mapanirang pag-atake sa pag-wiping ng data laban sa mga entidad ng Israel, na kadalasang nagkukunwari sa kanila bilang mga insidente ng ransomware. Ang paglitaw ng Moneybird, na naka-code sa C++, ay nagpapakita ng lumalaking kadalubhasaan ng grupo at patuloy na pangako sa paglikha ng mga bagong tool sa cyber.
Ang mga aktibidad ng grupo ay maaaring masubaybayan noong hindi bababa sa Disyembre 2020, kung kailan sangkot si Agrius sa pag-abala sa mga pagtatangka ng panghihimasok na nagta-target sa mga industriya ng brilyante sa South Africa, Israel at Hong Kong. Dati, gumamit si Agrius ng wiper-turned-ransomware na tinatawag na Apostle, batay sa .NET framework, at ang kahalili nito na pinangalanang Fantasy. Gayunpaman, kinakatawan ng Moneybird ang isang makabuluhang pag-unlad para sa grupo, dahil ipinapakita nito ang mga umuunlad nitong kakayahan sa cyber sa pamamagitan ng C++ programming language nito.
Sinasamantala ng Mga Aktor ng Banta ang Mga Kahinaan sa Seguridad upang Makakuha ng Access
Ang pamamaraan ng pag-atake na ginagamit ng Moneybird Ransomware ay nagpapakita ng mataas na antas ng pagiging sopistikado, simula sa pagsasamantala sa mga kahinaan na nasa mga Web server na nakaharap sa Internet. Ang paunang pagsasamantalang ito ay nagbibigay sa mga umaatake ng isang mahalagang entry point sa network ng target na organisasyon, na pinadali ng pag-deploy ng isang ASPXSpy Web shell.
Sa sandaling nasa loob na ng nakompromisong network, ang Web shell ay nagsisilbing isang channel ng komunikasyon para sa mga umaatake upang magsagawa ng isang hanay ng mga kilalang tool na partikular na iniakma upang magsagawa ng malawak na reconnaissance sa kapaligiran ng biktima. Ang mga tool na ito ay nagbibigay-daan sa mga umaatake na lumipat sa gilid sa loob ng network, mangalap ng mahahalagang kredensyal, at mag-exfiltrate ng sensitibong data.
Ang Moneybird Ransomware ay Nilagyan ng Advanced Encryption Capabilities
Kasunod ng unang yugto ng infiltration at reconnaissance, ang Moneybird Ransomware ay isinaaktibo sa nakompromisong host. Idinisenyo ang ransomware na ito na may partikular na pagtuon sa pag-encrypt ng mga sensitibong file na matatagpuan sa loob ng folder na "F:\User Shares." Kapag naisakatuparan, ang ransomware ay nag-deploy ng isang ransom note, na naglalagay ng matinding pressure sa mga biktima na makipag-ugnayan sa loob ng 24 na oras na takdang panahon, na nagbabala sa kanila sa potensyal na pampublikong pagtagas ng kanilang ninakaw na data.
Gumagamit ang Moneybird Ransomware ng napaka sopistikadong pamamaraan ng pag-encrypt, gamit ang AES-256 na may GCM (Galois/Counter Mode). Ang advanced na diskarte sa pag-encrypt na ito ay bumubuo ng mga natatanging susi sa pag-encrypt para sa bawat file at nagdaragdag ng naka-encrypt na metadata sa dulo. Ang katumpakan na pag-target at matatag na pag-encrypt na ipinatupad ng Moneybird ay ginagawang napakahirap, kung hindi man halos imposible, ang gawain ng pagpapanumbalik ng data at pag-decryption ng file, sa karamihan ng mga kaso.
Mahahalagang Mga Panukala sa Seguridad para Ihinto ang Pag-atake ng Ransomware
Ang mga epektibong hakbang sa seguridad ay maaaring ipatupad upang pangalagaan ang mga device at data mula sa mga pag-atake ng ransomware. Una, ang pagpapanatili ng up-to-date at matatag na software ng seguridad ay mahalaga. Ang regular na pag-update ng mga anti-malware program, kasama ang pagpapagana ng mga awtomatikong pag-update, ay nakakatulong na maprotektahan laban sa mga pinakabagong banta.
Ang pagpapatupad ng malakas at natatanging mga password para sa lahat ng account ay isa pang mahalagang hakbang. Binubuo ito ng paggamit ng kumbinasyon ng mga titik, numero, at simbolo, pati na rin ang pag-iwas sa mga karaniwan at madaling mahulaan na password. Bukod pa rito, ang pagpapagana ng multi-factor na pagpapatotoo ay nagdaragdag ng karagdagang layer ng seguridad sa pamamagitan ng pag-aatas ng mga karagdagang hakbang sa pag-verify upang ma-access ang mga account.
Ang regular na pag-back up ng nauugnay na data ay mahalaga upang mabawasan ang epekto ng pag-atake ng ransomware. Tinitiyak ng paggawa ng mga offline na backup o paggamit ng mga solusyon sa Cloud storage na mababawi ang mga kritikal na file sa kaganapan ng pag-encrypt o pagkawala.
Ang pagiging maingat habang nagba-browse sa Internet at nakikipag-ugnayan sa mga email ay mahalaga. Ang mga user ay dapat mag-alinlangan kapag nagki-click sa mga kahina-hinalang link o nagda-download ng mga file mula sa mga hindi pinagkakatiwalaang pinagmulan. Napakahalaga na maging mapagbantay at iwasan ang pagbisita sa mga potensyal na mapaminsalang website o pakikipag-ugnayan sa mga kahina-hinalang email, dahil maaaring naglalaman ang mga ito ng mga ransomware payload.
Ang pagtuturo sa sarili at pananatiling may kaalaman tungkol sa pinakabagong mga banta sa cybersecurity at mga diskarte sa pag-atake ay lubos na kapaki-pakinabang. Ang pagkilala sa mga karaniwang taktika ng social engineering na ginagamit sa mga pag-atake ng phishing at ang pagkakaroon ng kamalayan sa mga senyales ng isang potensyal na impeksyon sa ransomware ay maaaring makatulong sa mga user na gumawa ng mga proactive na hakbang upang maiwasan at tumugon sa mga naturang pag-atake.
Ang regular na pag-update ng mga operating system, application, at firmware ay isa pang mahalagang aspeto ng pagpapanatili ng malakas na seguridad. Ang mga patch at update ay kadalasang kinabibilangan ng mga pag-aayos sa seguridad na tumutugon sa mga kahinaan na maaaring pagsamantalahan ng ransomware at iba pang malware.
Sa pamamagitan ng pagsasagawa ng kumbinasyon ng mga hakbang na ito sa seguridad, mapapahusay ng mga user ang proteksyon ng kanilang mga device at data laban sa mapangwasak na epekto ng mga pag-atake ng ransomware.
