Програма-вимагач Moneybird
Іранська хакерська група Agrius, також відома як Pink Sandstorm і раніше Americium, нещодавно розробила новий штам програм-вимагачів під назвою Moneybird. Помічено, що це загрозливе шкідливе програмне забезпечення націлене саме на ізраїльські організації, що свідчить про значну зміну тактики Agrius.
Зміст
Кіберзлочинці розширюють свій загрозливий арсенал
Agrius має історію проведення деструктивних атак із знищенням даних проти ізраїльських організацій, часто маскуючи їх під інциденти програм-вимагачів. Поява Moneybird, написаного на C++, демонструє зростаючий досвід групи та постійну відданість створенню нових кіберінструментів.
Діяльність групи можна відстежити принаймні з грудня 2020 року, коли Агріус брав участь у припиненні спроб вторгнення в алмазну промисловість у Південній Африці, Ізраїлі та Гонконгу. Раніше Agrius використовував програмне забезпечення-вимагач під назвою Apostle, засноване на платформі .NET, і його наступника під назвою Fantasy. Однак Moneybird є значним прогресом для групи, оскільки він демонструє свої кібер-можливості, що розвиваються, через мову програмування C++.
Зловмисники використовують уразливості системи безпеки, щоб отримати доступ
Методологія атаки, яку використовує програмне забезпечення-вимагач Moneybird, демонструє високий рівень складності, починаючи з використання вразливостей веб-серверів, що виходять в Інтернет. Ця початкова експлуатація надає зловмисникам важливу точку входу в мережу цільової організації, що полегшується розгортанням веб-оболонки ASPXSpy.
Потрапляючи в скомпрометовану мережу, веб-оболонка служить каналом зв’язку для зловмисників, щоб запустити низку добре відомих інструментів, спеціально розроблених для проведення масштабної розвідки середовища жертви. Ці інструменти дозволяють зловмисникам переміщатися всередині мережі, збирати цінні облікові дані та викрадати конфіденційні дані.
Програма-вимагач Moneybird оснащена розширеними можливостями шифрування
Після початкової фази проникнення та розвідки програма-вимагач Moneybird активується на скомпрометованому хості. Це програмне забезпечення-вимагач розроблено з особливою увагою до шифрування конфіденційних файлів, розташованих у папці «F:\User Shares». Після виконання програмне забезпечення-вимагач розгортає повідомлення про викуп, чинячи величезний тиск на жертву, щоб встановити контакт протягом 24 годин, попереджаючи їх про можливий публічний витік їхніх викрадених даних.
Програма-вимагач Moneybird використовує дуже складну методологію шифрування, використовуючи AES-256 із GCM (режим Галуа/лічильник). Цей передовий метод шифрування генерує унікальні ключі шифрування для кожного файлу та додає зашифровані метадані в кінці. Точне націлювання та надійне шифрування, реалізоване Moneybird, у більшості випадків роблять завдання відновлення даних і дешифрування файлів надзвичайно складним, якщо не майже неможливим.
Важливі заходи безпеки для запобігання атаці програм-вимагачів
Для захисту пристроїв і даних від атак програм-вимагачів можна застосувати ефективні заходи безпеки. По-перше, важливо підтримувати оновлене та надійне програмне забезпечення безпеки. Регулярне оновлення програм захисту від зловмисного програмного забезпечення разом із увімкненням автоматичних оновлень допомагає захистити від останніх загроз.
Впровадження надійних і унікальних паролів для всіх облікових записів є ще одним важливим кроком. Це передбачає використання комбінацій букв, цифр і символів, а також уникнення типових паролів, які легко вгадати. Крім того, увімкнення багатофакторної автентифікації додає додатковий рівень безпеки, вимагаючи додаткових кроків перевірки для доступу до облікових записів.
Регулярне резервне копіювання відповідних даних є життєво важливим для пом’якшення впливу атаки програм-вимагачів. Створення офлайн-резервних копій або використання хмарних рішень для зберігання гарантує можливість відновлення критичних файлів у разі шифрування або втрати.
Важливо бути обережним під час перегляду веб-сторінок і взаємодії з електронною поштою. Користувачі повинні проявляти скептицизм, натискаючи підозрілі посилання або завантажуючи файли з ненадійних джерел. Дуже важливо бути пильним і уникати відвідування потенційно шкідливих веб-сайтів або взаємодії з підозрілими електронними листами, оскільки вони можуть містити програми-вимагачі.
Навчати себе та бути в курсі останніх загроз кібербезпеці та методів атак дуже корисно. Розпізнавання загальних тактик соціальної інженерії, які використовуються під час фішингових атак, і усвідомлення ознак потенційного зараження програмним забезпеченням-вимагачем може допомогти користувачам вживати профілактичних заходів для запобігання таким атакам і реагування на них.
Регулярне оновлення операційних систем, програм і вбудованого програмного забезпечення є ще одним важливим аспектом підтримки надійної безпеки. Патчі та оновлення часто включають виправлення безпеки, які усувають уразливості, якими можуть скористатися програми-вимагачі та інші шкідливі програми.
Виконуючи комбінацію цих заходів безпеки, користувачі можуть покращити захист своїх пристроїв і даних від руйнівного впливу атак програм-вимагачів.
