Програма-вимагач Black TENGU

Захист комп’ютерів, телефонів та бізнес-мереж від шкідливого програмного забезпечення більше не є необов’язковим. Сучасні загрози можуть блокувати критичні файли, красти конфіденційну інформацію, переривати операції та завдавати серйозних фінансових збитків протягом кількох хвилин. Сімейства програм-вимагачів, такі як Black TENGU Ransomware, демонструють, як кіберзлочинці поєднують шифрування та крадіжку даних, щоб змусити жертв платити.

Black TENGU Ransomware: огляд загрози

Black TENGU – це складний штам програми-вимагача, виявлений дослідниками безпеки. Після отримання доступу до скомпрометованого пристрою він шифрує збережені файли, щоб їх більше не можна було відкрити звичайним способом. Під час процесу шифрування він додає розширення «.TENGU» до уражених файлів. Наприклад, файл з назвою «1.png» стає «1.png.TENGU», а «2.pdf» перейменовується на «2.pdf.TENGU».

Така поведінка перейменування є поширеним показником активності програм-вимагачів, сигналізуючи про те, що вихідні дані були перетворені у нечитабельний стан. Після цього жертви не мають доступу до особистих документів, баз даних, зображень, архівів та інших важливих файлів.

Записка про викуп та подвійний тиск з боку вимагачів

Black TENGU також розсилає записку з вимогою викупу під назвою «_README_TENGU.txt». Згідно з повідомленням, зловмисники стверджують, що вони проникли в мережу жертви, викрали конфіденційні дані та зашифрували файли в системі. У записці обіцяють інструмент для розшифрування після оплати та зазначають, що викрадена інформація нібито буде видалена після сплати викупу.

У повідомленні також міститься застереження для жертв не намагатися розшифрувати дані за допомогою сторонніх програм або самостійно відновити їх, стверджуючи, що це може безповоротно пошкодити файли. Зловмисники спрямовують спілкування через електронні адреси, такі як «tengulocker@cyberfear.com» та «tengunlocker@onionmail.com», а також через чат-портал на базі Tor.

Ця тактика відображає зростаючу тенденцію, відому як подвійне вимагання. Зловмисники не лише покладаються на шифрування; вони також погрожують оприлюднити викрадені дані, якщо оплата не буде здійснена. Це створює додатковий тиск на організації, які обробляють записи клієнтів, фінансові документи або конфіденційну інформацію.

Чому сплата викупу є ризикованою

Хоча жертви можуть почуватися загнаними в пастку, сплата викупу несе значний ризик. Злочинні групи часто дають обіцянки, яких не дотримуються. Деякі жертви ніколи не отримують робочого інструменту розшифровки, тоді як інші знову стають мішенню після того, як виявляють готовність заплатити. Навіть після відновлення файлів викрадені дані все одно можуть бути продані, розголошені або збережені для подальшого шантажу.

Безпечніший шлях відновлення зазвичай полягає у відновленні чистих резервних копій після повного видалення шкідливого програмного забезпечення з уражених систем. Команди реагування на інциденти також повинні розслідувати, як сталося вторгнення, щоб запобігти повторному зараженню.

Як ймовірно поширюється чорний ТЕНГУ

Як і багато сімейств програм-вимагачів, Black TENGU може покладатися на кілька каналів зараження. Зловмисники часто використовують оманливі методи доставки, які обманом змушують користувачів запускати шкідливі файли або відвідувати небезпечні веб-сайти.

Поширені методи розподілу включають:

• Шахрайські електронні листи, що містять шкідливі вкладення або посилання
• Фальшиві оновлення програмного забезпечення, шахрайство з технічною підтримкою та шкідлива реклама
• Використання вразливостей застарілого або невиправленого програмного забезпечення
• Піратське програмне забезпечення, кряки, генератори ключів та неофіційні сторінки завантаження
• Заражені USB-накопичувачі, скомпрометовані веб-сайти та мережі обміну даними між користувачами

Корисне навантаження шкідливого програмного забезпечення часто маскується під звичайні ZIP-архіви, PDF-файли, скрипти, документи Office або виконувані файли.

Найкращі методи безпеки для посилення захисту від шкідливого програмного забезпечення

Надійна профілактика поєднує технології, обізнаність та дисципліноване обслуговування. Системи завжди повинні використовувати надійне програмне забезпечення безпеки з увімкненим захистом у режимі реального часу. Операційні системи, браузери, плагіни та бізнес-додатки необхідно швидко виправляти, оскільки відомі вразливості часто використовуються для розгортання програм-вимагачів.

Надійні резервні копії є одним із найефективніших засобів захисту. Важливі дані слід регулярно копіювати в офлайн- або хмарні сховища, які шкідливе програмне забезпечення не може безпосередньо змінити. Відновлення з резервної копії також слід протестувати, щоб воно було можливим під час реальної надзвичайної ситуації.

Обережність щодо електронної пошти залишається важливою. До неочікуваних вкладень, термінових запитів на оплату, повідомлень про скидання пароля та незнайомих посилань слід ставитися з підозрою. Організації отримують велику користь від навчання користувачів, яке навчає персонал принципам фішингових атак.

Контроль доступу не менш важливий. Користувачам слід уникати роботи з правами адміністратора, якщо в цьому немає потреби, а інструменти віддаленого доступу, такі як RDP, повинні бути захищені надійними паролями та багатофакторною автентифікацією. Сегментація мережі може зменшити здатність програм-вимагачів поширюватися на кілька пристроїв.

Рекомендовані захисні звички включають:

• Оновлюйте все програмне забезпечення та видаляйте непідтримувані програми
• Зберігайте кілька резервних копій, включаючи принаймні одну офлайн-копію
• Використовуйте надійні паролі та вмикайте багатофакторну автентифікацію

• Встановіть надійний захист кінцевих точок та брандмауер

• Уникайте піратського програмного забезпечення та неперевірених завантажень

Заключна оцінка

Програма-вимагач Black TENGU являє собою небезпечну сучасну загрозу, яка поєднує шифрування файлів, вимагальні повідомлення та можливу крадіжку даних. Використання перейменованих файлів із розширенням '.TENGU' та спеціального повідомлення з вимогою викупу свідчить про навмисну кампанію, спрямовану на швидке чинити тиск на жертв. Найсильнішим захистом є проактивна безпека: виправлені системи, обережні користувачі, надійна автентифікація, сегментовані мережі та надійні резервні копії. Організації та окремі особи, які готуються заздалегідь, набагато стійкіші до атак програм-вимагачів.