Theft Ransomware

Сучасне середовище загроз невблаганне. Кіберзлочинці постійно вдосконалюють свої інструменти, щоб використовувати непідготовлених користувачів. Серед найшкідливіших із цих загроз є програми-вимагачі, шкідливе програмне забезпечення, яке шифрує дані та вимагає гроші у жертв. Один із таких нових варіантів відомий як програми-вимагачі з метою крадіжки, які вже спостерігалися як шкідливі програми, що завдають шкоди нічого не підозрюючим системам.

Що робить програму-вимагача небезпечною для крадіжки

Програма-вимагач Theft – це новий штам, пов’язаний із сумнозвісним сімейством програм-вимагачів Dharma, групи, відомої тим, що атакує як окремих осіб, так і організації. Після проникнення на пристрій шкідливе програмне забезпечення шифрує файли та перейменовує їх, додаючи:

• Унікальний ідентифікатор жертви
• Адреса електронної пошти нападників
• Розширення «.theft»

Наприклад, «1.png» стає «1.png.id-9ECFA84E.[datatheft@tuta.io].theft».

Потім жертвам показують повідомлення з вимогою викупу у вигляді текстових файлів («info.txt») та спливаючого вікна. Хоча текстове повідомлення є коротким і містить лише контактну інформацію, спливаюче вікно пропонує більше деталей, зокрема запевнення, що відновлення даних можливе за умови сплати викупу. Зловмисники навіть пропонують «доказ розшифрування», дозволяючи безкоштовно відновити три невеликі, некритичні файли.

Посилюючи тиск, злочинці стверджують, що вкрали конфіденційні бізнес-дані, і погрожують їх витоком, якщо платіж буде відхилено.

Технічні характеристики загрози

Як і інші варіанти на основі Dharma, Theft Ransomware не блокує цілі системи, а натомість шифрує локальні та спільні мережеві файли. Шкідливе програмне забезпечення активно:

• Завершує процеси, пов'язані з файлами, що використовуються (бази даних, програми читання тощо)
• Копіює себе до шляху %LOCALAPPDATA% та реєструє персистентність через ключі запуску
• Налаштовує автоматичний запуск після перезавантаження системи
• Видаляє тіньові копії томів, щоб запобігти легкому відновленню

Шкідливе програмне забезпечення також збирає дані геолокації, щоб визначити, чи слід продовжувати шифрування, можливо, виключаючи певні регіони.

Як поширюється інфекція

Програми-вимагачі використовують різні тактики проникнення, найпоширенішими з яких є слабо захищені служби RDP (протокол віддаленого робочого столу). Частими точками проникнення є атаки методом грубої сили та словникові атаки проти погано захищених облікових записів. Потрапивши всередину, шкідливе програмне забезпечення може навіть вимикати брандмауери, щоб полегшити свою роботу.

Інші відомі канали розповсюдження включають:

Фішинг та соціальна інженерія – шкідливі вкладення або посилання в електронних листах, особистих повідомленнях та публікаціях.

Трояни та бекдори – використовуються для непомітного розповсюдження програм-вимагачів.

Шкідлива реклама та випадкові завантаження – запускаються простим відвідуванням скомпрометованого веб-сайту.

Підозрілі джерела програмного забезпечення – піратські інструменти, безкоштовні пакети програмного забезпечення та підроблені оновлення.

Знімні носії та локальні мережі – дозволяють шкідливому програмному забезпеченню поширюватися всередині системи після його потрапляння в систему.

Чому сплата викупу — ризикована ставка

Розшифрувати файли, зашифровані за допомогою Theft, без ключа зловмисників практично неможливо. Хоча деякі варіанти програм-вимагачів мають недоліки, загрози на основі Дхарми зазвичай мають надійну структуру. Важливо зазначити, що сплата викупу не гарантує повернення коштів, багато жертв залишаються з порожніми руками навіть після переказу коштів. Гірше того, оплата лише фінансує подальші злочинні операції.

Посилення вашого захисту від програм-вимагачів

Найкращий спосіб боротьби з програмами-вимагачами Theft Ransomware – це профілактика. Оскільки видалення шкідливого програмного забезпечення не відновить автоматично зашифровані файли, користувачі повинні зосередитися на стійкості та проактивному захисті. Ключові практики, яких повинен дотримуватися кожен користувач:

• Регулярні резервні копії – Зберігайте копії важливих файлів у кількох безпечних місцях, таких як автономні диски та хмарні сервіси, не пов’язані із зараженою системою.
• Оновлення програмного забезпечення та систем – встановлюйте виправлення для усунення вразливостей, які використовує програма-вимагач.
• Використовуйте надійну автентифікацію – захищайте RDP-сервіси унікальними складними паролями та вмикайте багатофакторну автентифікацію.
• Будьте обережні з електронними листами та посиланнями – не відкривайте неочікувані вкладення та не натискайте на невідомі посилання, навіть якщо вони здаються законними.
• Обмежити права адміністратора – обмежте привілеї, щоб зменшити вплив потенційного запуску шкідливого програмного забезпечення.
• Встановіть надійні засоби безпеки – використовуйте рішення для захисту від шкідливих програм із функціями захисту від програм-вимагачів.

• Вимкнення макросів і сценаріїв – багато атак програм-вимагачів запускаються через документи або сценарії Office.

• Сегментні мережі – запобігання поширенню шкідливого програмного забезпечення в різних бізнес-середовищах.

Заключні думки

Програми-вимагачі з метою крадіжки підкреслюють постійну еволюцію родини Dharma та її незмінну роль у глобальних кампаніях із вимаганнями. Поєднання шифрування, крадіжки даних та вимагання робить їх особливо шкідливими. Оскільки відновлення файлів часто неможливе без чистих резервних копій, єдиним справжнім захистом є багаторівнева профілактика, надійна кібергігієна та надійні стратегії відновлення.