Фахівці компанії Cyble виявили низку підроблених сайтів для дорослих, які розповсюджують програми-вимагачі. Проте детальний аналіз показав, що ця шкідлива програма не шифрує дані, а навмисне знищує інформацію своїх жертв.
Точно невідомо, як оператори цієї кампанії рекламували свої сайти, але всі вони використовують імена хостів, пов’язані з еротичними фотографіями: nude-girlss.mywire[.]org, sexyphotos.kozow[.]com та sexy-photo[.]online.
Дослідники кажуть, що на таких сайтах відвідувачам автоматично пропонується завантажити файл, що виконується, з ім’ям SexyPhotos.JPG.exe, який маскується під зображення JPG. Якщо користувач спробує відкрити його, підроблений шифрувальник-вимагач розгорне в системі чотири файли – del.exe, open.exe, windll.exe і windowss.exe – а також файл avtstart.bat. у каталозі %temp%, а потім запустіть їх.
Пакетний файл прикріплюється до системи шляхом копіювання всіх чотирьох файлів, що виконуються в папку автозавантаження Windows. Потім запускається файл windowss.exe, до системи додаються три додаткові файли, включаючи windows.bat, який перейменовує файли жертви. Типи файлів та папки, на які націлено шкідливе програмне забезпечення, показані нижче.
В результаті файли користувача перейменовуються за єдиним шаблоном, наприклад, Lock_1.fille, Lock_2.fille і так далі. Хоча вміст порушених файлів не змінюється і не шифрується, жертви не можуть дізнатися про їх початкові імена.
Разом з цим у системі з’являються нотатки про викуп (файли readme.txt). У цьому повідомленні зловмисники вимагають 300 доларів у біткойнах протягом трьох днів, потім погрожують подвоїти цю суму до 600 доларів протягом семи днів, а потім викрасти всі файли жертви до свого сервера.
Як пояснюють дослідники, цей шкідник взагалі не виконує шифрування файлів, тільки перейменовує їх. Тому автори цієї шкідливої програми навряд чи мають інструмент для відновлення даних. Адже шкідлива програма навіть намагається зберегти вихідні імена файлів при зараженні. Найгірше, експерти вважають, що таке навмисне спотворення даних зовсім не випадковість.
Зважаючи на все, шкідлива програма замислювалася саме як вандал, тобто така що навмисно знищує дані своїх жертв. Справа в тому, що після фальшивого шифрування шкідлива програма зазвичай намагається запустити файл dell.exe , але через помилку іменування (яка призводить до видалення dell.exe) цей крок не працює як слід. Якщо виправити помилку і запустити файл, всі логічні диски, крім диска С, будуть очищені.
Аналітики Cyble відзначають, що єдиний можливий спосіб відновити дані після атаки цієї шкідливої програми – відкат ОС на попередню контрольну точку, оскільки фейковий вимагач не видаляє тіньові копії. Розповсюдження вірусів-вандалів під виглядом вимагача – це досить рідка тактика, однак не є новинкою. Так, шифрувальник HiddenTear у своїх перших варіантах був саме вірусом-вандалом, незважаючи на те що первинний код цього шкідника має всі функції, потрібні для “нормальної” роботи вимагача.
Meta подала в суд на кілька китайських компаній (включаючи HeyMods, Highlight Mobi та HeyWhatsApp) за розробку та використання «неофіційних» програм WhatsApp для Android. Справа в тому, що з травня 2022 року за допомогою цих додатків було викрадено понад мільйон облікових записів WhatsApp.
Згідно з судовими документами, якими поділилися журналісти Bleeping Computer, шкідливі програми, зокрема, були доступні для завантаження з сайтів самих компаній, а також через Google Play Store, APK Pure, APKSFree, iDescargar та Malavida.
Після встановлення програм (у тому числі AppUpdater для WhatsPlus 2021 GB Yo FM HeyMods та Theme Store для Zap) вони використовували вбудоване шкідливе програмне забезпечення для збору конфіденційної інформації про користувачів, включаючи дані аутентифікації, а потім захопили чужі облікові записи WhatsApp для розсилки спаму.
Після того, як жертви встановили шкідливі програми, їм було запропоновано ввести свої облікові дані користувача WhatsApp та надати шкідливим програмам доступ до WhatsApp.” – документи свідчать.
При цьому, згідно з офіційною статистикою Google Play Store, лише програма AppUpdater for WhatsPlus була встановлена понад мільйон разів.
Ігровий сайт, який спамери рекламували у WhatsApp
Варто зазначити, що минулого літа глава WhatsApp Уілл Кеткар попередив користувачів, щоб вони не завантажували модифіковані версії WhatsApp, і навів приклад HeyMods і HeyWhatsApp. Кеткарт написав, що служба безпеки компанії виявила в цих додатках приховані шкідливі програми, і їхня основна мета – крадіжка особистої інформації користувачів.
Reminder to @WhatsApp users that downloading a fake or modified version of WhatsApp is never a good idea. These apps sound harmless but they may work around WhatsApp privacy and security guarantees. A thread:
Цікаво, що одночасно з тим, як ЗМІ дізналися про цей позов, Meta опублікувала офіційний прес-реліз, в якому також заявила, що виявила понад 400 шкідливих додатків, які викрадали дані користувача. Однак тут йдеться не тільки про програми для Android (355 штук), але і про програми для iOS (47 штук), а їх метою називалася крадіжка облікових даних від облікових записів Facebook.
Категорії шкідливих програм
Ці програми розміщувалися в Google Play Store та Apple App Store і маскувались під фоторедактори, ігри, VPN, бізнес-програми та інші утиліти, щоб змусити людей їх завантажити.” – сказала компанія.
Пропонуючи жертвам «Увійти через Facebook», програми врешті-решт викрадали облікові дані користувачів, зламували облікові записи інших людей і могли «виконувати такі дії, як надсилання повідомлень друзям та отримання доступу до особистої інформації». Повідомляється, що більше мільйона користувачів були повідомлені про потенційну компрометацію, і тепер їм рекомендується змінити свої паролі та включити двофакторну аутентифікацію.
Компанія Simple Mobile Tools представила смартфон, який використовує програми написані на відкритому коді. Це гарна можливість для тих, хто замислюється за свою анонімність та безпеку програм. Фанати FOSS мають гідно оцінити цей девайс, оскільки дійсно “відкритих” телефонів на ринку не так багато. І це не дивно: великі корпорації все частіше намагаються залізти в наші особисті дані.
Словацька компанія Simple Mobile Tools представила свій смартфон Simple Phone. Особливістю пристрою, за заявою виробника, є відсутність сервісів Google.
Повідомляється, що смартфон працює на Android 11 із встановленою оболонкою SimpleOS, в якій відсутні сервіси Google, у тому числі GMS та Google Play. Натомість у телефоні використовується альтернативний магазин F-Droid з відкритим вихідним кодом.
Simple Phone має в оснащенні процесор 2018 MediaTek Helio P60, 4 ГБ оперативної пам’яті, 128 ГБ вбудованої пам’яті і акумулятор ємністю 4500 мАч, а також IPS-дисплей з роздільною здатністю 1080p. За автономність пристрою відповідає АКБ на 4500 мАг. Смартфон має 4 камери – 25-мегапіксельну фронтальну камеру, а також три задні камери, що складаються із сенсорів на 48, 8 та 5 мегапікселів.
Пристрій вже доступний для замовлення на сайті виробника за ціною €399. Компанія обіцяє два роки гарантії та три роки випуску оновлень програмного забезпечення. У продаж Simple Phone надійде 1 листопада.
Повторення історії Huawei?
У 2019 році, після ряду судових засідань у США китайському виробнику електроніки Huawei було заборонено використовувати пропріетарне ПЗ, яке Google постачає у комплекті до своєї ОС Android. Google Play, Google Maps, утиліти телефонної книги та календаря – все це за символічну суму доступне для розробників – якщо вони не підпадають під згадані вище санкції. Однак китайський технологічний гігант знайшов вихід з ситуації шляхом створення своїх замісних рішень. Успіх такого виходу з ситуації, однак, досі сумнівний. Велика кількість програм з альтернативного “плеймаркету” отримує оновлення з запізненням; крім того, Huawei розміщує там ПЗ, яке більше підходить для китайського ринку. Багато користувачів з України та інших країн Європи скаржаться на відсутність таких речей як YouTube (він у Китаї заборонений) та нормально деталізованих карт.
Чи не стане Simple Phone повторенням історії китайського бренду? Звісно, тут причиною відмови від базового ПЗ стало бажання зробити телефон, що використовує виключно програми з відкритим програмним кодом. На відміну від Android, первинний код прикладного ПЗ до операційної системи є закритим, і користувачі, які найбільше турбуються про свою приватність, бачать у цьому загрозу своїй безпеці.
Однак приклад відмови від “рідного” для ОС набору програм вже продемонструвало цілий ряд труднощів для користувача. Альтернативні джерела програм та ігор, такі як вищезгаданий F-Droid, хоч і пропонують набір найільш потрібних програм, але навряд чи дадуть доступ до усього можливого ПЗ, яке може знадобитись у щоденному житті. Окрім того, переважна більшість програм, які ми використовуємо щодня, не є опен-сорсними, що суперечить правилам магазину F-Droid. Тож скоріше за все, цей телефон буде цікавинкою лише для поціновувачів ідеології Free Open Source Software (FOSS).
Згідно з останніми дослідженнями, Google Chrome вважається найбільш вразливим браузером у 2022 році. З початку року в Google Chrome було виявлено 303 вразливості. На другому місці Firefox (117), на першому – Microsoft Edge (103), на четвертому – Safari (26).
За весь час у Google Chrome виявлено 3159 вразливостей, у Firefox – 2361, а у Safari – 1139. Цифри базуються на даних, наданих базою даних уразливостей VulDB. У статті розглянуто вразливості, внесені до бази даних з 1 січня 2022 року до 5 жовтня 2022 року.
Google Chrome також є єдиним браузером у списку, де вже виявлені нові вразливості в жовтні. Деякі з останніх вразливостей Google Chrome включають CVE-2022-3318, CVE-2022-3314, CVE-2022-3311, CVE-2022-3309 та CVE-2022-3307. Усі уразливості можуть призвести до пошкодження пам’яті, але їх можна усунути шляхом оновлення до версії 106.0.5249.61.
Хоча Google Chrome, Microsoft Edge і Opera абсолютно різні за функціями, всі вони побудовані на ядрі Chromium. Розроблене Google, це ядро з відкритим первинним кодом доступне для усіх бажаючих розробити свій браузер. Це означає, що уразливості, які присутні у Chrome можуть торкнутися всіх вищезгаданих програм, а також альтернатив, які мають те саме ядро за основу.
Хакери використовують різні методи використання вразливостей браузера. Але як вже зазначали в вищезгаданому дослідженні, користувачам потрібно встановлювати всі оновлення, щоб забезпечити свій браузер від можливих атак, а також з обережністю встановлювати розширення, які можуть містити вразливості.
Виробник спортивних та гоночних автомобілів Ferrari завзято заперечує, що його пограбували. У той же час хак-група RansomEXX додала автовиробника до списку своїх жертв і стверджує, що вкрала у Ferrari 7 ГБ даних.
Нагадаю, що ми також говорили про 13 проблем, що загрожують медичним приладам, автомобілям та промисловим системам, а також, наприклад, про те, що Volvo Cars зазнає атаки Snatch і про те, що підліток отримує віддалений доступ до 25 автомобілів Tesla.
Представники RansomEXX заявили про злом Ferrari у минулі вихідні. Хакери стверджують, що вкрали у компанії численні документи, у тому числі контракти, рахунки-фактури, інсайдерську інформацію, посібники з ремонту та багато іншого.
Представники Ferrari повідомили ЗМІ, що їм відомо про цей передбачуваний витік даних, але компанія наголосила, що наразі не розслідує жодних атак програм-вимагачів чи інцидентів по кібербезпеці.
Ferrari не має жодних доказів злому своїх систем або атак з боку програм-вимагачів. Ми наголошуємо, що жодних збоїв у нашому бізнесі та операціях не було. Компанія працює над виявленням причин цих подій і при потребі здійснить всі необхідні дії”. – заявила комапнія.
Цікаво, що повідомлення RansomEXX не містить вимог про викуп, а хакери замовчують про те, як їм нібито вдалось зламали Ferrari.
Нагадаю, що раніше це угруповання атакувало такі відомі компанії, як Gigabyte, Hellman Worldwide та модний бренд Zegna. І хоча в минулому цю конкретну групу не було викрито в брехні, загалом хакери іноді видають бажане за дійсне. Наприклад, у серпні 2022 року оператори програми-вимагача Cl0p заявили, що атакували Thames Water, найбільшого у Великій Британії постачальника послуг з очищення води та каналізацій. Як виявилося, вони переплутали дві компанії, а насправді була атакована ще одна британська компанія South Staffordshire Water.
ТікТок стрімко набирає кількість своїх користувачів щодня. Аудиторія цієї платформи в Україні, станом на 2022 рік, нараховує близько 10 млн користувачів.
Формат коротких відео у ТікТоці зацікавив не тільки користувачі всього світу, але і шахраїв. Таким чином у них з’явилося більше способів для незаконного заробітку. В цій статті підготовлено список найбільш поширених видів шахрайства у ТікТоці.
1. Пропозиції швидкого збагачення
Шахраї найчастіше використовують методику обіцянок про великий прибуток при найменших зусиллях та вкладеннях. У соціальних мережах ви можете побачити багато реклами про вигідні інвестиції, які насправді є лише фінансовими пірамідами. Інколи мова йде про досить примітивне шахрайство: ви надсилаєте їм гроші, і більше ніколи їх не побачите – ані грошей, ані шахраїв.
З цього випливає, що користувачам потрібно бути більш уважними з вибором організацій, які пропонують ті чи інші інвестиції. Більше того, не ведіться на обіцянки отримати великі відсотки прибутку за короткий термін. Не ведіться на те, що багато продуктів і проектів рекламуються від відомого інфлюєнсера – це теж може бути обманом.
Так виглядає шахрайський профіль у Тік-Ток
2. Фішингові повідомлення
Фішингові листи також часто використовуються як метод для обману користувачів. Подібні листи виглядають цілком невимушено і нешкідливо. Але є один нюанс – мета цих листів полягає у тому, аби переконати користувача перейти за тим чи іншим посиланням чи вкладенням. В основному це пропозиції щодо того, як збільшити кількість підписників або як отримати значок верифікації.
Після того, як користувач відкриє подібне вкладення або посилання, він ризикує заразити свій ПК шкідливим програмним забезпеченням. Для крадіжки аккаунта, шахраї можуть надіслати посилання на сервер, який вкраде токен аутентифікації. Іншим варіантом подій є отримання запиту на введення своїх даних для входу в обліковий запис. Якщо користувач не використовує двофакторну аутентифікацію, то у хакерів ще більше шансів отримати доступ до всіх конфіденційних даних жертви.
Приклад фішингового листа, який маскується під сповіщення від ПейПал
3. Аккаунти ботів
Боти зараз поширилися на просторах багатьох соціальних мереж. Тік Ток – не виняток, тут боти поширюють неправдиву інформацію аби лише оволодіти конфіденційними даними, або ж для того, щоб поширити шкідливий контент. Таким чином користувач ризикує заразити свій смартфон або інший пристрій шкідливими програмами.
4. Шахрайські програми
Безкоштовні програми – завжди гарна приманка для користувачів. Тут шахраї пропонують встановити безкоштовно нібито зручні та корисні додатки. Але при переході на сайти для встановлення цих програм, користувач може отримати шкідливе ПЗ і втратити свої особисті дані. Тому краще завантажувати програми з перевірених джерел, таких як App Store або Google Play.
5. Підроблені акаунти знаменитостей
Деякі профілі є фейковими та видають себе за знаменитих особистостей. В основному їх контент – це все лише копіювання якогось офіційного профілю в ТікТоці або в іншій соціальній мережі. Їх метою є збільшення кількості підписників або зловмисні дії. Щоб не стати жертовою цієї шахрайської схеми, підписуйтесь тільки на верифіковані профілі.
“Галочка” верифікованого профілю підтверджує особу, що ним володіє
Як не стати жертвою поширених схем шахрайства у ТікТоці
Як і багато інших соціальних мереж, ТікТок не захищений від злому на сто відсотків. Однак ключовою вразливістю завжди був і залишається сам користувач, точніше, його неуважність та нехтування правилами кібербезпеки. Тому варто використовувати базові кроки та знання для того, щоб не стати жертвою шахраїв.
Використовуйте двофакторну аутентифікацію. Вона розрахована на те, щоб перевірити двічі особистість того, хто намагається ввійти в обліковий запис або в профіль тієї чи іншої соціальної мережі. Наприклад, користувач отримуватиме код на електронну пошту чи в текстовому повідомленні, щоб підтвердити вхід до облікового запису. Таким чином, у шахраїв менше шансів вкрасти вашу конфіденційну інформацію.
Створюйте надійний пароль. У цьому випадку важливо не використовувати прості і часто зламані паролі, такі як 1111, qwerty тощо. Найкраще створювати пароль з різних символів та літер верхнього та нижнього реєстру. Також не забудьте про те, що чотиризначний пароль легше зламати, ніж восьми-значний або десяти-значний.
Не зв’язуйся з обліковими записами, які публікують сумнівний контент. Якщо ви побачите подібне, скористайтесь кнопкою “Поскаржитися”. Таким чином ви збережете інших користувачів від, можливо, шахрайського профілю.
Поява нових висококваліфікованих хакерів та нові можливості шкідливого ПЗ відкрили нові горизонти в світі кіберзлочинності.
Програма-вимагач BlackCat (ALPHV) оновила свій інструмент для крадіжки даних, що використовується для атак із подвійним вимаганням. Дослідники з компанії Symantec повідомляють, що інструмент Exmatter, який використовувався з моменту запуску BlackCat у серпні 2021 року, у серпні був оновлений та отримав наступні зміни:
Тепер ексфільтрація доступна тільки для розширень: PDF, DOC, DOCX, XLS, PNG, JPG, JPEG, TXT, BMP, RDP, SQL, MSG, PST, ZIP, RTF, IPT та DWG;
Доданий FTP як опція ексфільтрації на додаток до SFTP та WebDav;
Додана можливість створити звіт зі списком всіх оброблених файлів;
Додана функція «Гумка», що дає можливість пошкоджувати оброблені файли;
Додано параметр конфігурації «Самознищення», щоб облишити систему та «видалити себе», якщо вхід виконано в неприпустимому середовищі
Видалена підтримка Socks5;
Додана можливість розгортання об’єкта групової політики GPO.
Також у Exmatter виявлено масштабний рефакторинг коду, через що виявлення шкідника ускладнене. Крім того, було виявлено, що BlackCat створила нове шкідливе програмне забезпечення «Eamfo», що пов’язане з обліковими даними, які зберігаються в резервних копіях розробника програмного забезпечення Veeam.
Eamfo підключається до бази даних Veeam SQL та зберігає облікові дані для резервної копії із SQL-запитом. Після вилучення облікових даних Eamfo розшифровує їх та в кінці сповіщує про цю дію жертву. За чутками, Eamfo використовувалося іншими угрупованнями, включаючи Monti, Yanluowang та LockBit.
Symantec також повідомляє, що оператори BlackCat скасовують співпрацю з афілійованими особами, які, на їхню думку, недостатньо продуктивні, так як працюють з менш ефективними RaaS-програмами. Це було реалізовано до притоку досвідчених зловмисників, що дозволило швидко реалізувати нові атаки в рамках нової кампанії.
21 вересня 2022 року новий користувач Твіттера Алі Кушджі опублікував те, що має бути збирачем програм-вимагачів LockBit. За словами користувача, ця програма призначена для програми-вимагача LockBit 3.0 – останньої версії шкідливого ПЗ, використовуваного цими кіберзлочинцями. Конкретний користувач прикидається анонімним хакером, який зламав інфраструктуру LockBit.
Що таке програма-вимагач LockBit?
LockBit Ransomware — одна з найуспішніших груп вимагачів серед активних у 2022 році. З’явившись у 2020 році, вона швидко стала великою рибою завдяки надзвичайно швидкому і надійному шифруванню і таким же швидким інструментам вилучення даних. У 2022 році, після закриття групи Conti, вона швидко завоювала вивільнену частку ринку та стала абсолютним лідером. Доступна статистика показує, що майже 60% атак програм-вимагачів на корпорації влітку 2022 були ініційовані групою LockBit.
Локбіт також відомі як дуже публічна група, оскільки вони постійно активні на різних форумах і навіть дають інтерв’ю у різних блогах. Основна ідея, яку просуває угрупування, звучить як: «Lockbit завжди робить те, що обіцяє». Ймовірно, вони мали на увазі, що після сплати викупу, жертва гарантовано отримає ключ дешифрування, а її файли будуть видалені. Очевидно, що DDoS-атаки, які ця група почала використовувати для створення іншого стимулу до оплати, також має бути зупинено. Така впевненість, швидше за все, є результатом сумлінної програми найму — керівники точно впевнені, що учасники групи дотримуються правил.
Витік білдера LockBit 3.0
Кожен зразок програми-вимагача, розповсюджений групою LockBit, унікальний. Він доставляється в цільову систему після встановлення з’єднання з командним сервером, що відбувається одразу після отримання первинного доступу. Спеціальний інструмент генерує варіант шкідливого ПЗ з унікальним порядком внутрішніх секцій, що унеможливлює його виявлення за допомогою будь-якого сигнатурного аналізу. Ця утиліта також використовується при створенні ключів шифрування та дешифрування, що робить цю програму потенційно цінною для створення уніфікованого дешифратора.
Механізм будівельника LockBit
У середу, 21 вересня 2022 року, користувач Twitter під ніком Ali Qushji опублікував кілька твітів, у яких поділився посиланням на завантаження білдера та деякими подробицями. Зокрема, було твердження про виток цієї програми з інфраструктури LockBit після успішного злому останньої. Немає жодних доказів того, що мав місце будь-який реальний злом серверів LockBit, але інший твіт (нині видалений) від Vx-Underground підтверджував більш ранній витік (який стався 10 вересня 2022 р.).
твіт Алі Кушджі був опублікований 21 вересня 2022 року, проте згодом був видалений
Людина з ніком Proton, яка, ймовірно, працює в групі LockBit програмістом, поділилася конструктором з адміністраторами вищезгаданої сторінки в Твіттері. Ця версія належала останній версії програми-вимагача LockBit 3.0 і містила кілька виправлень помилок, які були раніше. Ще більшу плутанину створює той факт, що обидві версії — та, яку поділяє Протон, та та, яку пропонує Алі Кушджі, — відрізняються. Обидва вони доступні GitHub 3xp0rt.
Що далі?
Ситуація настільки заплутана, наскільки це можливо. Імовірність того, що інфраструктура LockBit була зламана, досить висока, і якщо це виявиться правдою, група, швидше за все, матиме серйозні проблеми. І не тільки з міркувань безпеки: ті, хто проник всередину серверів, швидше за все, злили всі дані, необхідні для створення дешифратора. Звичайно, група може переключитися на іншу технологію — але на це знадобиться час, і така операція буде не дуже приємною після нещодавнього переходу на шифрувальник LockBit 3.0. Краще дочекатися офіційної реакції кіберзлочинців і лише потім робити висновки.
Програми-вимагачі (ransomware) вважаються одним із найнебезпечніших видів шкідливих програм. Ви можете не погоджуватися, але все ж таки випадок, коли ваші дані стають недоступними, робить всі інші загрози значно меншими. У той час як атаки шпигунських програм, бекдори або рекламне програмне забезпечення намагаються зробити їх безшумними або, принаймні, не дуже помітними, програми-вимагачі заявляють про себе у повний зріст. Знання про те, як захистити свою систему від атаки програм-вимагачів, важливі незалежно від того, хто ви — фрілансер, співробітник величезної корпорації чи полковник у відставці.
Чому Важливий Захист від Програм-вимагачів (Ransomware)?
Проблема захисту від програм-вимагачів є досить актуальною, оскільки існує більше десятка різних груп кіберзлочинців, націлених на різні категорії користувачів. Кожен з них має різні способи розповсюдження, маскування та міцність ключа шифрування. Деякі з атак вимагачів можуть бути розшифровані через нерозсудливість їх розробників, деякі мають конструктивні недоліки, які роблять шифр простим перебором, що розшифровується.
РЕКОМЕНДАЦІЯ: Ви можете спробувати найкращий інструмент захисту від шифрувальників-вимагачів – Gridinsoft Anti-Malware. Цей інструмент захисту від шкідливого ПЗ виявляє, видаляє та запобігає програмам-вимагачам. Ми покажемо вам способи захистити себе, коли ви є простим користувачем, а також коли ви перебуваєте в корпорації, спираючись на типові прийоми, які вони використовують. Крім того, ми також пояснимо робочі етапи захисту від програм-вимагачів.
Чи важливий захист вашого ПК від програм-вимагачів (Ransomware)?
По-перше, дозвольте мені пояснити, чому атака програм-вимагачів (ransomware) є такою поганою ознакою. Йдеться не лише про те, щоб зробити ваші дані недоступними. Існує кілька інших типів шкідливих програм, які запобігають доступу користувачів до файлів. Однак значного поширення вони не набули. Такі речі, як скрінлокери, шифрувальники-архіватори та ярликові віруси просто перестали існувати — і це не просто тому, що так склалося. Ось чому дуже важливо знайти гарне та працююче рішення для захисту від атак вимагачів.
Шифрувальники-вимагачі (принаймні більшість із них) використовують дуже складний шифр, який робить практично неможливим повернення ваших даних. Точніше, навіть якщо ви використовуєте сучасний квантовий комп’ютер, ви, скоріше за все, витратите більше кількох тисяч років на підбір ключа розшифровки.
ПРИМІТКА. До списку небезпечних програм-вимагачів входять: програма-вимагач Avaddon, програма-вимагач STOP/Djvu, шифрувальник LockBit, Makop і т.д.
приклад програми-вимагача STOP/Djvu
Але це ще не єдина катастрофа — деякі зразки програм-вимагачів несуть шпигунські ПЗ разом зі своїм основним навантаженням і збирають усі дані, до яких можуть дістатися. На жаль, ніхто (крім самих шахраїв) не може видалити вкрадені дані. Ось чому важливо знайти працюючі рішення для кращого програмного забезпечення для захисту від програм-вимагачів, щоб бути на озброєнні.
Взагалі відновлення файлів після атаки шифрувальника – складне завдання, якщо ви не збираєтесь платити викуп. Сучасні варіанти програм-вимагачів можуть видяляти тіньові копії томів, резервні копії OneDrive та інші популярні методи резервного копіювання. Шахраї часто лякають жертв тим, що будь-яка спроба відновлення файлів призведе до втрати даних.
Вони також можуть сказати, що ваші дані будуть видалені, якщо вимога про сплату викупу не буде виконана. У той час як перше частково вірне, друге – повна брехня – просто щоб налякати вас і змусити платити викуп. Проте мати справу із наслідками атаки ніколи не буває приємно. Давайте розберемося, як запобігти атакам програм-вимагачів.
Поради щодо запобігання атак програм-вимагачів (Ransomware)
Рекомендації щодо того, як залишатися в безпеці, залежать від вашого середовища. Шахраї будуть застосовувати різні підходи для атаки на окремого користувача чи співробітника компанії. Навіть коли ви працюєте вдома за своїм персональним комп’ютером, ви будете атаковані по-іншому, коли шахраї націлені не тільки на ваш комп’ютер, а й на всю компанію.
Не використовуйте сумнівних/ненадійних джерел програмного забезпечення, фільмів та інших ризикованих матеріалів. Близько 90% випадків програм-вимагачів припадає на використання сторонніх сайтів для отримання потрібних програм або фільмів, не заплативши ні копійки.
Пам’ятайте: безкоштовним може бути тільки шматок сиру в мишоловці. Великі гравці серед шифрувальників, такі як STOP/Djvu, навіть створюють свої сайти-одноденки, що імітують форуми зі зламаним софтом, або сторінки з новими фільмами для безкоштовного скачування. Торрент-трекінги, які поширюються через ці сайти, містять шкідливе ПЗ, яке виконується відразу після завершення завантаження.
Не відкривайте вкладення електронної пошти від невідомих відправників. Шахраї спробують замаскувати свої адреси електронної пошти, щоб вони виглядали законно, але уважний погляд на них покаже вам правду.
Якщо ви не впевнені, що отриманий вами електронний лист від служби доставки є реальним, не полінуйтеся перевірити список реальних адрес електронної пошти підтримки/доставки. І не будьте наївними – ніхто не пропонує отримати приз у лотереї, в якій ви ніколи не брали участі.
Будьте обережні з програмним забезпеченням, яке ви знайшли на форумах чи соціальних мережах. Не всі з них небезпечні, і не всі небезпечні містять програми здирники. Але все одно користуватись такими програмами все одно, що купувати напої у брудному під’їзді.
Ви ніколи не знаєте, справжній цей файл, або підроблений, але ви точно знаєте, хто винен у проблемах, які ви побачите наступного дня. Такий спосіб поширення досить рідкісний, але все ж таки не варто його викреслювати, особливо враховуючи високий рівень довіри до таких додатків.
Поради щодо запобігання впровадженню програм-вимагачів у корпорації
Ці поради будуть корисними як адміністраторам, так і співробітникам, яким доводиться мати справу з потенційними напрямками здійснення кібератак. Як правило, атаки на компанії здійснюються специфічними методами та не повторюють напрямки атак на фізичних осіб. Таким чином, ви можете побачити те, що є спільним для обох ситуацій.
Використовуйте захищене з’єднання RDP. Атаки RDP через брутфорс логіну та паролю є одним із найпоширеніших векторів атак. Вони використовуються для розгортання програм-вимагачів, шпигунських програм, просунутих постійних загроз (APT) і лише Бог знає чого ще. Дуже важливо контролювати цей момент; буде ідеально, якщо сисадміни самі налаштують усі RDP — щоб унеможливити будь-які невірні налаштування. Брутфорс з’єднання RDP стає доступним лише тоді, коли порти, які використовуються для встановлення з’єднання, є типовими та незахищеними. На жаль, ці порти використовуються за замовчуванням, тому недосвідчені користувачі, які вперше налаштовують RDP, швидше за все, виберуть їх.
Кластеризувати внутрішню корпоративну мережу. У більшості компаній всі комп’ютери підключені до однієї локальної мережі в одному офісі. Такий крок полегшує управління, але значно полегшує і зараження цієї мережі. Коли їх 4-5 штук, кожна з яких керується окремим ПК адміністратора, а потім — контролером домену, хакери, швидше за все, не зможуть атакувати усю мережу одразу.
Використовуйте 2FA для входу в вразливі місця. Щоб розширити свою присутність у зараженій мережі, зловмисники намагаються вкрасти облікові дані або перебрати всі місця, які можуть бути використані для поширення шкідливого ПЗ в мережі. Їхня кінцева мета – контролер домену – комп’ютер, який управляє всією мережею і має доступ до серверів. Його захист має бути максимально високим.
Ініціювати регулярну зміну пароля серед персоналу. Деякі з відомих атак сталися після витоку пароля з однієї з мереж. Крім того, просунуті атаки можуть тривати кілька місяців — а паролі, що раптово змінилися, повністю заплутати їх карти.
Як постскриптум хочу порадити уникати деяких поширених паролів — «qwerty», «12345» або щось таке. Успіх перебору є особливо важливим для таких простих паролів. Їх містять навіть найдешевші (або навіть безкоштовні) бази паролів для перебору. Використовуйте надійні паролі, щоб їх неможливо було зламати – це одна з головних запоруок успіху.
* Будь ласка, ЗВЕРНІТЬ УВАГУ: Ще однією поширеною помилкою є додавання особистої інформації в паролі. Дата народження вас чи вашого партнера, ім’я вашого, дата, коли ви приєдналися до компанії – все це дуже легко з’ясувати за допомогою даних з відкритих джерел. Майте це на увазі, створюючи таку важливу річ!
Покажіть співробітникам, як відрізнити підроблений лист від справжнього. Найчастіше саме компанії та їх електронні адреси стають цілями для подібного спаму, адже щодня надходять сотні листів. Вчитатися у деталі чи тим паче виявити підробку може просто не стати часу – особливо у “гарячі” дні перед святами.
* А кіберзлочинці не лінуються придумувати справді хитрі маскування для своїх листів. Вони можуть імітувати запити у вашу техпідтримку, пропозиції від інших компаній, повідомлення про рахунки, які потрібно сплатити компанії тощо. Немає нічого небезпечного в тому, щоб відкрити та прочитати таке повідомлення, але будь-які посилання в ньому і прикріплених файлах наражають вас на потенційну небезпеку.
*ХОЧУ НАГАДАТИ: дуже важливо вибрати для себе найкраще рішення для захисту від програм-вимагачів, щоб захистити себе та свій комп’ютер. Вивчивши необхідні матеріали та дослідження, ви захистите свій ПК від рекламного програмного забезпечення, шпигунських програм, програм-вимагачів та інших загроз.
Найкращий захист від шифрувальників-вимагачів(ransomware) можливий при постійному оновленні баз даних і, що важливіше, правильному про активному захисті. Ці дві речі вже дадуть досить високий коефіцієнт захисту. Тим не менш, проблеми більшості масових антивірусів нікуди не поділися: вони, як і раніше, можуть перевантажувати ваш ЦП/ОЗУ, а також розкидати вашу конфіденційність, надсилаючи багато телеметрії.
Ось чому я рекомендував би вам той, у якого немає обох цих недоліків — Gridinsoft Anti-Malware. Його бази даних оновлюються щогодини, а загальне споживання ЦП та ОЗУ досить низьке, щоб відповідати навіть найслабшим системам. Проактивний захист, заснований одночасно на евристичному двигуні та нейронній мережі, безперечно зробить ваш пристрій набагато більш захищеним від більшості типів шкідливих програм.
Охоронна компанія Arctic Wolf попереджає, що програма-вимагач Lorenz використовує критичну вразливість VoIP-пристроях Mitel MiVoice для проникнення в корпоративні мережі.
Lorenz активний як мінімум з 2021 року і займається вже звичним вимаганням подвійного викупу: їх шкідник не тільки шифрує файли на машинах своїх жертв, а й краде дані постраждалих компаній, а потім погрожує опублікувати їх, якщо вони не отримують окремого викупу за це.
Минулого року групі приписали атаку на провайдера EDI Commport Communications, а цього року дослідники зафіксували активність Lorenz у США, Китаї та Мексиці, де хакери атакували малий та середній бізнес.
Як тепер повідомляють аналітики Arctic Wolf, хакерська група використовує вразливість CVE-2022-29499, виявлену та виправлену у червні 2022 року. Ця помилка у VoIP-пристроях Mitel MiVoice дозволяє віддалене виконання довільного коду (RCE) та створення зворотної оболонки на мережі жертви.
VoIP-рішення Mitel використовуються організаціями та урядами в критично важливих секторах по всьому світу. За словами експерта з інформаційної безпеки Кевіна Бомонта, наразі понад 19 000 пристроїв відкрито для атак через Інтернет.
Варто зауважити, що методи, які хакери використовують для зараження шифрувальниками-вимагачами, майже завжди ідентичні і незмінні останні 5 років. Це говорить про досить низький рівень кібербезпеки у компаніях, незважаючи на усі попередження з боку спеціалістів.
Загалом тактика Lorenz аналогічна описаній у звіті компанії CrowdStrike, яка виявила цей баг і простежила за шифрувальником, який використовував його. Отже, після початкової компрометації Lorenz розгортає копію інструменту з відкритим вихідним кодом Chisel для тунелювання TCP в мережі компанії, що постраждала, і використовує її для обходу мережевих фільтрів та захисного ПЗ.
При цьому експерти Arctic Wolf зазначають, що після злому пристрою Mitel хакери вичікують близько місяця, і лише потім починають розвивати свою атаку далі. Дослідники пишуть, що хакери використовують відомі та широко використовувані інструменти для створення дампа облікових даних та подальшої розвідки. Потім група починає рух мережею, використовуючи скомпрометовані облікові дані (включаючи облікові дані зламаного облікового запису адміністратора домену).
Перш ніж зашифрувати файли жертви, Lorenz краде інформацію за допомогою програми обміну файлами FileZIlla. BitLocker використовується для подальшого шифрування жертв.
