Arcus Ransomware

Duy trì an ninh mạng mạnh mẽ là điều cần thiết khi các mối đe dọa như ransomware tiếp tục phát triển. Một trong những mối đe dọa tinh vi hơn gần đây được các chuyên gia an ninh mạng phân tích là Arcus Ransomware. Mối đe dọa này đã thể hiện hành vi và khả năng phức tạp, đặt ra những thách thức đáng kể cho cả cá nhân và doanh nghiệp. Hiểu cách thức hoạt động của nó và áp dụng các biện pháp phòng ngừa có thể giảm đáng kể thiệt hại tiềm ẩn.

Arcus Ransomware là gì?

Arcus Ransomware là một loại phần mềm đe dọa được lập trình để mã hóa các tệp trên hệ thống bị nhiễm, khiến nạn nhân không thể truy cập được. Các phân tích gần đây cho thấy Arcus có hai biến thể chính, một biến thể dựa nhiều vào Phobos Ransomware khét tiếng. Mỗi biến thể sử dụng các cơ chế khác nhau để mã hóa tệp và truyền đạt yêu cầu đòi tiền chuộc, khiến mối đe dọa này trở nên linh hoạt và khó xử lý.

Biến thể Arcus dựa trên Phobos đặc biệt đáng chú ý vì cách nó đổi tên các tệp được mã hóa. Nó thêm một ID nạn nhân duy nhất, một địa chỉ email và phần mở rộng '.Arcus' vào tên tệp. Ví dụ: một tệp có tên '1.png' có thể được đổi tên thành '1.png.id[9ECFA84E-3537].[arcustm@proton.me].Arcus.' Biến thể này tạo ra một ghi chú đòi tiền chuộc dưới dạng tệp 'info.txt' và hiển thị cảnh báo bật lên. Biến thể thứ hai, mặc dù tương tự, nhưng thêm phần mở rộng '[Encrypted].Arcus' đơn giản hơn vào tên tệp, chẳng hạn như '1.png[Encrypted].Arcus' và thả một ghi chú đòi tiền chuộc có tiêu đề 'Arcus-ReadMe.txt'.

Đòi tiền chuộc và đe dọa

Cách tiếp cận của Arcus Ransomware đối với các yêu cầu đòi tiền chuộc vừa hung hăng vừa tinh vi. Biến thể dựa trên Phobos thông báo cho nạn nhân thông qua tệp info.txt và cửa sổ bật lên rằng dữ liệu của họ đã bị mã hóa và đánh cắp. Những kẻ tấn công hướng dẫn nạn nhân liên hệ với chúng tại các địa chỉ email cụ thể (ví dụ: arcustm@proton.me hoặc arcusteam@proton.me) hoặc thông qua các dịch vụ nhắn tin, nhấn mạnh mốc thời gian nghiêm ngặt để tuân thủ. Nếu không phản hồi trong vòng 7 ngày, dữ liệu đã thu thập sẽ bị công khai thông qua trang web 'LeakBlog', trong khi thông báo bật lên sẽ có thời hạn dài hơn một chút là 14 ngày.

Biến thể thứ hai của Arcus Ransomware, sử dụng tệp Arcus-ReadMe.txt để giao tiếp, áp dụng một chiến lược tương tự nhưng cấp bách hơn. Nạn nhân được yêu cầu liên hệ thông qua ứng dụng trò chuyện Tox hoặc qua địa chỉ email 'pepe_decryptor@hotmail.com' trong vòng 3 ngày, nếu không dữ liệu của công ty họ sẽ bị công bố. Những kẻ tấn công tuyên bố rằng dữ liệu này sẽ bị rò rỉ sau 5 ngày nếu không liên lạc được, gây áp lực buộc nạn nhân phải tuân thủ nhanh chóng. Cả hai biến thể đều nhấn mạnh rằng bất kỳ nỗ lực nào để giải mã các tệp một cách độc lập hoặc phá vỡ các quy trình của ransomware đều có thể dẫn đến mất dữ liệu không thể phục hồi.

Điểm vào và phương pháp truyền bá

Giống như nhiều mối đe dọa ransomware khác, Arcus khai thác các điểm yếu trong bảo mật của hệ thống. Biến thể dựa trên Phobos thường tận dụng các lỗ hổng của Giao thức máy tính từ xa (RDP) làm điểm xâm nhập chính. Phương pháp này bao gồm các cuộc tấn công brute force hoặc dictionary vào các tài khoản người dùng được bảo mật kém, cho phép kẻ tấn công xâm nhập và phát tán ransomware trên các tệp cục bộ và chia sẻ trên mạng.

Khi đã xâm nhập, ransomware không chỉ mã hóa các tệp mà còn có thể vô hiệu hóa tường lửa và xóa Shadow Volume Copies để cản trở việc khôi phục dữ liệu. Ngoài ra, ransomware có thể đảm bảo tính dai dẳng bằng cách sao chép chính nó vào các vị trí mục tiêu và sửa đổi các khóa Run registry cụ thể. Nó cũng có khả năng thu thập dữ liệu vị trí địa lý và có thể loại trừ các vị trí cụ thể khỏi các hoạt động của mình, thể hiện nhận thức chiến lược về việc triển khai của nó.

Các biện pháp bảo mật tốt nhất để phòng chống Ransomware

Bảo vệ chống lại các mối đe dọa ransomware như Arcus liên quan đến các biện pháp an ninh mạng chủ động. Áp dụng các hành động này có thể giảm đáng kể nguy cơ lây nhiễm:

  1. Tăng cường cơ chế xác thực: Sử dụng mật khẩu phức tạp, duy nhất và bật Xác thực đa yếu tố (MFA) cho tất cả tài khoản, đặc biệt là những tài khoản liên quan đến quyền truy cập RDP, có thể tạo ra rào cản lớn chống lại sự xâm nhập trái phép.
  2. Cập nhật phần mềm thường xuyên: Đảm bảo rằng tất cả các hệ điều hành và ứng dụng phần mềm đều được cập nhật. Các bản vá bảo mật thường khắc phục các lỗ hổng mà ransomware khai thác để truy cập vào thiết bị và mạng.
  3. Sử dụng Phân đoạn mạng: Hạn chế sự lây lan của ransomware bằng cách phân đoạn dữ liệu quan trọng và tài nguyên mạng. Điều này làm giảm tác động nếu một thiết bị hoặc một phần của mạng bị xâm phạm.
  4. Chiến lược sao lưu toàn diện: Sao lưu thường xuyên dữ liệu quan trọng vào bộ lưu trữ an toàn, biệt lập. Các bản sao lưu này phải được lưu ngoại tuyến để tránh bị ảnh hưởng bởi phần mềm tống tiền nhắm vào các tài nguyên được kết nối mạng.
  5. Sử dụng các giải pháp bảo mật điểm cuối mạnh mẽ: Triển khai các công cụ bảo mật cung cấp khả năng bảo vệ theo thời gian thực, phát hiện phần mềm tống tiền và khả năng phản hồi. Mặc dù không nêu tên các giải pháp cụ thể, nhưng việc đảm bảo các công cụ này được cấu hình đúng có thể tăng cường đáng kể khả năng phòng thủ của bạn.
  6. Giáo dục và đào tạo nhân viên: Các tổ chức nên tiến hành các buổi đào tạo thường xuyên để nhân viên nhận thức được các chương trình lừa đảo, chiến thuật kỹ thuật xã hội và thói quen duyệt web an toàn. Hầu hết các trường hợp nhiễm ransomware đều bắt đầu từ lỗi của con người, chẳng hạn như nhấp vào liên kết không an toàn hoặc tải xuống tệp đính kèm bị nhiễm.

Suy nghĩ cuối cùng về việc duy trì sự bảo vệ

Ransomware như Arcus là ví dụ điển hình về bản chất liên tục phát triển của các mối đe dọa mạng. Hiểu được các cơ chế của nó—chẳng hạn như mã hóa tệp biến thể kép và các chiến thuật đòi tiền chuộc hung hăng—có thể giúp người dùng đánh giá cao tầm quan trọng của việc luôn cảnh giác. Tuy nhiên, chìa khóa để giảm thiểu rủi ro nằm ở cách tiếp cận chủ động: áp dụng các biện pháp bảo mật nghiêm ngặt, giáo dục người dùng và duy trì chiến lược an ninh mạng cập nhật. Với các biện pháp này, các cá nhân và tổ chức có thể bảo vệ hệ thống của mình tốt hơn trước các mối đe dọa tinh vi như Arcus Ransomware.

 

tin nhắn

Các thông báo sau được liên kết với Arcus Ransomware đã được tìm thấy:

!!! You Have Been Compermized !!!

All Of Your Sensitive Data Encrypted And Downloaded.
In Order to Keep Your Sensitive Data Safe And Decrypt Files You Have to Contact Us.

Mail Us on : arcustm@proton.me or arcusteam@proton.me
Tox Us on : F6B2E01CFA4D3F2DB75E4EDD07EC28BF793E541A9674C3E6A66E1CDA9D931A1344E321FD2582
LeakBlog : hxxp://arcuufpr5xx*********************************hszmc5g7qdyd.onion

As much as you Contact Faster Your Case Will be resolved Faster.

You Will Be listed In our LeakBlog in Case You Dont Contact in 7 Days .

xu hướng

Xem nhiều nhất

Đang tải...