Антихакерське програмне забезпечення-вимагач

Захист особистих та бізнес-даних від сучасних шкідливих програм більше не є необов'язковим, це операційна необхідність. Оператори програм-вимагачів продовжують удосконалювати свою тактику, інструменти та схеми соціальної інженерії, щоб максимізувати порушення роботи та вимагати платежі. Навіть невеликі організації та домашні користувачі регулярно стають мішенями, і відновлення може бути складним або неможливим без підготовки. AntiHacker Ransomware, член родини Xorist, є саме такою загрозою.

ОГЛЯД ЗАГРОЗ ТА ПОХОДЖЕННЯ

AntiHacker – це шкідлива програма, виявлена дослідниками інформаційної безпеки та віднесена до сімейства програм-вимагачів Xorist. Загрози на основі Xorist зазвичай створюються на основі фреймворку, який зловмисники можуть налаштовувати, змінюючи повідомлення про викуп, що відображається, розширення файлу, мовні елементи та інші параметри. AntiHacker дотримується знайомого принципу Xorist: він шифрує дані жертви, а потім вимагає оплату в обмін на нібито ключ розшифрування.

ПОВЕДІНКА ТА МАРКУВАННЯ ФАЙЛІВ ШИФРУВАННЯ

Після того, як AntiHacker скомпрометує систему, він шукає дані, доступні користувачеві, на локальних дисках і потенційно підключених мережевих розташуваннях. Цільовою атакою є широкий спектр типів файлів: документи, зображення, архіви, мультимедійні файли та інші цінні сховища даних. Кожен зашифрований елемент перейменовується шляхом додавання рядка '.antihacker2017' до кінця оригінального імені файлу. Наприклад, файл, який спочатку називався '1.png', стає '1.png.antihacker2017'; '2.pdf' стає '2.pdf.antihacker2017'; і цей шаблон повторюється для всіх оброблених файлів. Додане розширення служить двом цілям: воно візуально сигналізує жертві про компрометацію та допомагає програмі-вимагачу визначити, які елементи вона вже обробила.

ЗАПИСКИ ПРО ВИКУП, СПЛИВАЮЧІ ВІКНА ТА ШПАЛЕРИ

Після завершення процедури шифрування AntiHacker змінює шпалери робочого столу жертви та розміщує повідомлення з вимогою викупу у двох паралельних форматах: спливаюче вікно та текстовий файл під назвою «ЯК РОЗШИФРОВАТИ ФАЙЛИ.txt» (російською «ЯК РОЗШИФРОВАТИ ФАЙЛИ»). Вміст повідомлення, представлений у спливаючому вікні та текстовому файлі, однаковий. Однак варіант шпалер містить додаткову мову соціальної інженерії, нібито виправдовуючи, що атака сталася через відвідування користувачем певних веб-сайтів для дорослих або незаконних веб-сайтів. Цей принизливий підхід покликаний змусити жертв швидко та непомітно заплатити.

ОСОБЛИВОСТІ КОДУВАННЯ СИМВОЛІВ

У системах, які не використовують кирилицю, текст із вимогою викупу, що відображається у спливаючому вікні, може виглядати як нечитабельна абракадабра. Тому жертви можуть бачити пошкоджене вікно повідомлення, але все ще знаходити читабельні інструкції у втраченому текстовому файлі. Зловмисники часто не помічають деталей локалізації; захисники можуть використовувати такі артефакти для кластеризації пов’язаних інцидентів.

МЕХАНІКИ ПРИМУСУ: КЛЮЧОВІ ОБМЕЖЕННЯ ВХОДУ ТА ЗАЯВИ ПРО ЗАГРОЗИ

В інструкціях щодо викупу зазначено, що жертви повинні зв’язатися зі зловмисниками, щоб отримати ключ розшифрування. Вони також накладають обмеження високого рівня стресу: дозволено лише 50 спроб ввести ключ, після чого в повідомленні стверджується, що зашифровані дані будуть безповоротно втрачені. Додаткові попередження стверджують, що використання інструментів безпеки, перезавантаження або вимкнення машини зробить файли нерозшифровними. Ці тактики залякування поширені в інструкціях щодо програм-вимагачів і мають на меті відбити бажання у користувачів звертатися за професійною допомогою або пробувати безпечні процедури відновлення.

ЧОМУ СПЛАТА ВИКУПУ Є РИЗИКОВАНОЮ

Немає жодної гарантії, що кіберзлочинці, що стоять за AntiHacker (або будь-яким програмним забезпеченням-вимагачем), нададуть робоче рішення для розшифровки після оплати. Жертви, які платять, часто нічого не отримують, отримують зламаний ключ або стають мішенями для повторного вимагання. Оплата також фінансує поточні злочинні операції та стимулює подальші атаки. Розсудливою позицією є уникати оплати, коли це можливо, та зосередитися на шляхах відновлення, які ви контролюєте.

РЕАЛІЇ ОДУЖАННЯ

Видалення AntiHacker із зараженої системи може зупинити подальше шифрування файлів, але воно не розшифровує дані, які вже були заблоковані. Найнадійніший шлях відновлення — це відновлення чистих копій уражених файлів із резервних копій, які були ізольовані, офлайн або іншим чином поза досяжністю шкідливого програмного забезпечення. Якщо життєздатних резервних копій не існує, можливості відновлення даних стають дуже обмеженими.

ПЕРВИННІ ПЕРЕНОСНИКИ ІНФЕКЦІЇ

Автори програм-вимагачів покладаються на ту саму широку екосистему розповсюдження, що й інші категорії шкідливих програм. AntiHacker не є винятком. Зловмисники часто маскують корисні навантаження під легітимне програмне забезпечення або поєднують їх зі зламаними чи піратськими програмами, документами чи інсталяторами. Просте відкриття зараженого файлу може запустити ланцюжок завантаження або виконання.

• Фішингові та соціальні приманки, що надсилаються електронною поштою, особистими повідомленнями або прямими повідомленнями зі шкідливими вкладеннями чи вбудованими посиланнями.
• Шкідливі або шахрайські завантаження, ініційовані зі зламаних або шкідливих веб-сайтів без чіткої згоди користувача.
• Троянські завантажувачі та бекдори, які непомітно витягують та запускають програми-вимагачі після вбудовування.
• Ненадійні джерела завантаження, такі як сайти з безкоштовним програмним забезпеченням, сторонні хостингові сторінки та мережі обміну файлами Peer-to-Peer (P2P).
• Онлайн-шахрайство та кампанії зі шкідливою рекламою, які перенаправляють користувачів на експлойт-кіти або шахрайські корисні навантаження.
• Нелегальні інструменти активації програмного забезпечення («крякання» / кейгени) та підроблені оновлення програмного забезпечення, які встановлюють шкідливе програмне забезпечення замість легітимних патчів.
• Архіви (ZIP, RAR тощо), виконувані файли (EXE, RUN тощо), файли скриптів (наприклад, JavaScript) та формати документів (PDF, Microsoft Office, OneNote та інші), що використовуються як зброя для запуску ланцюга зараження.

ОГЛЯД ОБОРОННОЇ СТРАТЕГІЇ

Ефективний захист від програм-вимагачів охоплює людей, процеси та технології. Не можна покладатися на один захисний засіб; припускайте, що хоча б один рівень вийде з ладу. Поєднуйте обізнаність користувачів, посилені конфігурації, ретельне встановлення виправлень, надійні методи резервного копіювання та потужні можливості виявлення/реагування, щоб зменшити як ймовірність, так і вплив вторгнення в стилі AntiHacker.

• Зберігайте резервні копії важливих даних.
• Повністю оновлюйте операційні системи, програми та засоби безпеки; своєчасно встановлюйте виправлення, особливо для служб віддаленого доступу та обміну файлами.
• Використовуйте надійні рішення для захисту від шкідливих програм / виявлення та реагування на кінцеві точки (EDR) з виявленням поведінкових програм-вимагачів та можливостями автоматичного відкату, де це підтримується.
• Забезпечте дотримання прав користувачів з найменшими правами; виконуйте щоденні завдання від імені облікових записів, що не є адміністраторами, та обмежте доступ до запису до спільних сховищ даних.
• Сегментуйте мережі та обмежуйте горизонтальне переміщення; ізолюйте сховища резервних копій та критично важливі сервери на окремих рівнях доступу.
• Вимагати багатофакторну автентифікацію (MFA) для віддалених входів, привілейованих дій та консолей керування резервним копіюванням.

ВИСНОВОК

AntiHacker Ransomware ілюструє, як зловмисники адаптують сімейства на основі комплектів, такі як Xorist, для створення потужних, регіонально орієнтованих схем вимагання. Шифрування даних, позначення імен файлів тегами, багатомовні артефакти записок про викуп та примусові повідомлення розроблені для стимулювання платежів. Однак найсильнішим контрзаходом залишається підготовка: ізольовані резервні копії, багаторівневий захист, поінформовані користувачі та дисциплінований план реагування. Організації та окремі особи, які інвестують у ці запобіжні заходи, можуть перетворити потенційно катастрофічну подію, спричинену програмою-вимагачем, на інцидент, який можна відновити.