Програма-вимагач Mortar

Шкідливе програмне забезпечення продовжує бути однією з найзначніших загроз кібербезпеці, з якими стикаються як організації, так і окремі особи. Сучасні атаки програм-вимагачів можуть порушити бізнес-операції, спричинити серйозні фінансові втрати та поставити під загрозу конфіденційну інформацію протягом кількох годин. Оскільки групи програм-вимагачів стають дедалі складнішими, підтримка надійних засобів контролю безпеки та проактивного захисту є важливою для захисту цінних даних та забезпечення безперервності роботи.

Огляд програм-вимагачів Mortar

Mortar Ransomware – це шкідливе програмне забезпечення для шифрування файлів, виявлене дослідниками кібербезпеки. Загроза розроблена головним чином для корпоративного середовища, де зловмисники прагнуть максимізувати операційні збої та посилити тиск на жертв, щоб вони сплатили викуп. Після розгортання в скомпрометованій мережі Mortar шифрує файли та залишає записку з вимогою викупу, назва якої відповідає унікальному ідентифікатору жертви, у форматі «README-[ID жертви].txt».

Відмінною рисою цієї програми-вимагача є її поведінка під час перейменування файлів. Під час шифрування Mortar додає унікальний ідентифікатор жертви до кожного ураженого файлу. Наприклад, файл, який спочатку мав назву «1.png», може перетворитися на «1.png.4RcrXfvVksS5ACA», тоді як документ, такий як «2.pdf», може бути перетворений на «2.pdf.4RcrXfvVksS5ACA». Той самий ідентифікатор потім використовується в назві файлу повідомлення про викуп, створюючи прямий зв'язок між жертвою та атакою.

Процес шифрування та вимоги викупу

Після проникнення в мережу Mortar шифрує широкий спектр даних, включаючи документи, бази даних, фотографії та інші цінні бізнес-файли. У заяві з вимогою викупу стверджується, що зловмисники використовували алгоритми шифрування AES-256 та RSA-2048 для блокування інформації жертви. Хоча такі заяви поширені серед операторів програм-вимагачів, загальна мета залишається незмінною: зробити дані недоступними без відповідного ключа розшифрування.

У записці з вимогою викупу жертвам повідомляється, що єдиний спосіб відновити їхні файли – це придбати у зловмисників інструмент для розшифрування. Замість того, щоб вказувати фіксовану суму викупу, злочинці спрямовують жертв на портал на базі Tor та надають облікові дані для входу, що складаються з імені користувача та пароля. Такий підхід дозволяє зловмисникам домовлятися про платежі індивідуально та потенційно коригувати вимоги щодо викупу залежно від сприйнятої цінності організації-жертви.

Чи можна відновити зашифровані файли?

Відновлення файлів, зашифрованих програмою-вимагачем, часто є надзвичайно складним без доступу до механізму розшифрування зловмисників. У рідкісних випадках дослідники з кібербезпеки виявляють помилки впровадження або криптографічні вразливості, які дозволяють створювати безкоштовні дешифратори. Однак такі випадки трапляються рідко, і жертви, які постраждали від добре розробленого програмного забезпечення-вимагача, часто стикаються з обмеженими можливостями відновлення.

Сплата викупу зазвичай вважається рішенням з високим рівнем ризику. Кіберзлочинці не зобов'язані надавати функціонуючий інструмент розшифрування після отримання платежу. Багато жертв стикалися з ситуаціями, коли кошти переказувалися, але інструменти відновлення так і не доставлялися, або надані інструменти не відновлювали дані успішно. Отже, платіж може призвести до додаткових фінансових втрат без гарантії відновлення файлів.

Вектори інфекції та методи атаки

Зловмисники можуть досягати жертв кількома методами атаки, які зазвичай використовуються в кампаніях програм-вимагачів. Фішинг залишається одним із найпоширеніших векторів зараження. Зловмисники розповсюджують електронні листи, що містять шкідливі вкладення, такі як стиснуті архіви, виконувані файли або документи Microsoft Office, вбудовані в шкідливі макроси. Після відкриття ці файли можуть ініціювати процес розгортання програми-вимагача.

Додаткові шляхи зараження включають троянське програмне забезпечення, фальшиві механізми оновлення, шкідливі рекламні кампанії, ненадійні портали завантаження та піратські програми, що розповсюджуються через неофіційні канали. Ці методи використовують довіру користувачів та неадекватні засоби контролю безпеки для отримання доступу до систем.

Під час цілеспрямованих корпоративних вторгнень зловмисники можуть використовувати більш просунуті методи. Зловмисники часто намагаються скомпрометувати служби протоколу віддаленого робочого столу (RDP) за допомогою атак методом перебору слабких облікових даних. Вони також можуть використовувати невиправлені вразливості в системах, що підключаються до Інтернету, щоб отримати початковий плацдарм, перш ніж рухатися по мережі та розгортати програму-вимагач на кількох пристроях одночасно.

Реакція на зараження розчином

Після виявлення Mortar негайне стримування є критично важливим. Видалення програми-вимагача з уражених систем допомагає запобігти подальшій діяльності з шифрування та зменшує ризик додаткової шкоди для середовища. Однак видалення шкідливого програмного забезпечення не слід плутати з відновленням даних. Видалення шкідливої програми не відновлює автоматично зашифровані файли.

Найнадійнішим методом відновлення залишається відновлення чистих резервних копій, створених до атаки. Резервні копії слід зберігати окремо від робочих систем, щоб запобігти шифруванню сховищ резервних копій програмами-вимагачами під час інциденту. Організації, які підтримують безпечні, ізольовані резервні копії, зазвичай мають набагато кращі можливості для відновлення після атак програм-вимагачів без взаємодії з кіберзлочинцями.

Створення надійного захисту від програм-вимагачів

Ефективний захист від програм-вимагачів вимагає багаторівневої стратегії безпеки, яка поєднує технології, обізнаність користувачів та проактивне обслуговування. Організації повинні регулярно оновлювати операційні системи, програми та мережеві пристрої, щоб усунути вразливості, якими зазвичай користуються зловмисники. Надійні політики автентифікації, особливо для служб віддаленого доступу, можуть значно зменшити ризик несанкціонованого доступу.

Не менш важливою є розробка надійної стратегії резервного копіювання. Критично важливі дані слід копіювати в кілька місць, включаючи офлайн- або відключені сховища, до яких неможливо отримати доступ з скомпрометованих систем. Регулярне тестування резервного копіювання гарантує правильне функціонування процедур відновлення під час надзвичайної ситуації.

Ключові методи безпеки включають:

• Зберігання резервних копій в окремих та захищених місцях регулярно.
• Застосування оновлень та виправлень безпеки одразу після їх появи.
• Використання надійних, унікальних паролів та ввімкнення багатофакторної автентифікації.
• Обмеження непотрібних служб віддаленого доступу та моніторинг спроб входу.
• Навчання співробітників розпізнаванню фішингових електронних листів та підозрілих вкладень.
• Розгортання надійних рішень для захисту кінцевих точок та моніторингу мережі.

Організаціям також слід дотримуватися принципу найменших привілеїв, надаючи користувачам лише той доступ, який необхідний для їхніх ролей. Постійний моніторинг, аудити безпеки та планування реагування на інциденти ще більше посилюють стійкість до кампаній програм-вимагачів, таких як Mortar. Поєднання превентивних заходів контролю, можливостей швидкого виявлення та надійних систем резервного копіювання залишається найефективнішим захистом від сучасних загроз шифрування файлів.

Висновок

Програма-вимагач Mortar Ransomware становить серйозну загрозу для корпоративних мереж через свою здатність шифрувати цінні дані, порушувати роботу та змушувати жертв платити за розшифрування. Додаючи унікальні ідентифікатори до зашифрованих файлів та спрямовуючи жертв на спеціалізований портал викупу, зловмисники демонструють структурований та цілеспрямований підхід. Хоча відновлення зашифрованих файлів може бути складним завданням, організації, які надають пріоритет надійним практикам кібербезпеки, підтримують ізольовані резервні копії та проактивно усувають вразливості, можуть суттєво зменшити вплив інцидентів із програмами-вимагачами та покращити загальний рівень безпеки.