Фішингова кампанія APT28 націлена на військових України

Експерти з кібербезпеки виявили нову фішингову кампанію, яку веде відома група хакерів APT28. Ця група пов’язується з ГРУ Росії та в останні роки активно займається кібершпигунством. Цього разу їх фішингова кампанія спрямована проти українських військових з метою крадіжки даних.

Коротко про APT28

Хакерська група APT28, також відома як Pawn Storm, Fancy Bear і BlueDelta існує щонайменше з 2004 року. Вони в основному зосереджуються на зборі розвідувальної інформації для російського уряду. Протягом років вони атакували різні цілі, включаючи американських політиків, організації та навіть ядерні об’єкти в США. Через високу професійність APT28 становить серйозну кіберзагрозу для своїх цілей. Останні атаки групи APT28 на військові структури України включають в себе прицільний фішинг (англ. spear phishing).

Фішингова кампанія APT28 атакує українських військових

Фішингова кампанія включає в себе розсилку електронних листів, що містять експлойти. Хакери маскують їх під розсилку військової інформації щодо ситуації в Україні. Лист містить посилання, при відкритті якого відбувається атака викрадення фрейму: користувачу пропонується увійти в систему через побічне вікно, викликане спеціальним скриптом.

APT28 проводить фішингові атаки
проти українських військовослужбовців

Облікові дані введені у таку форму одразу викрадаються хакерами. В подальшому, за допомогою доступу до цієї поштової скриньки, вони можуть отримати доступ і до інших ресурсів, які прив’язані до неї.

Втім, така тактика не є новою для APT28. Згідно з даними CERT-UA, один з використаних методів включає розсилку HTML-файлів, які імітують вебінтерфейси таких сервісів як UKR.NET та Yahoo.com, з метою крадіжки логінів та паролів через HTTP POST-запити. Ці дії включали ексфільтрацію даних через скомпрометовані пристрої.

Один із сценаріїв фішингової атаки:

  • Здійснюється розсилка фішингових листів, замасковані як повідомленнями від Команди реагування на кіберінциденти України (CERT-UA). Ці листи мали заголовок “Кібератака” та маскувалися під актуальні новини та інформацію щодо кібербезпеки. В листах містяться посилання, які ведуть на фішингові сторінки і сторінки з експлойтами.
  • Після того, як жертва відкриває таке посилання, сайт збирає інформацію про місцезнаходження та IP-адресу користувача. У випадку фішингової сторінки, користувачу пропонується ввести облікові дані до сервісу, під який така сторінка замаскована. Окрім цього, експлойти браузера могли бути використані для інфікування цільової системи.

Методи боротьби

Боротьба з такими атаками вимагає від українських військових та організацій постійної уваги до кібербезпеки, включаючи оновлення програмного забезпечення, навчання персоналу основам кібергігієни та співпрацю з міжнародними партнерами для обміну інформацією про загрози. Важливо повідомляти про підозрілі листи відповідальним службам кібербезпеки.

UAC-0099 атакують Українські підприємства використовуючи вірус Lonepage

Кібервійна України з Росією триває, оскільки угруповання UAC-0099 посилює свою кампанію кібершпигунства проти українських підприємств. Використовуючи серйозну вразливість у популярному програмному забезпеченні WinRAR, група організовує складні атаки для розгортання шкідливого програмного забезпечення Lonepage, що базується на VBS і здатне віддалено виконувати команди та викрадати дані.

UAC-0099 використовують вразливість в WinRar

У більшості останніх атак UAC-0099 зосередився на використанні вразливості WinRAR (CVE-2023-38831, оцінка CVSS: 7.8), що свідчить про складний підхід до кібератак. Ця вразливість WinRAR, широко використовуваного інструменту для стиснення файлів, дозволяє зловмисникам впроваджувати шкідливий код в системи, які нічого не підозрюють. Експлойт передбачає використання підроблених архівів, що саморозпаковуються (SFX), і спеціально створених ZIP-файлів, призначених для обходу традиційних заходів безпеки і доставки шкідливого програмного забезпечення Lonepage безпосередньо в серце цільової системи.

Вектори атаки через WinRAR:

  1. Архіви, що саморозпаковуються: Зловмисники поширюють SFX-файли, які містять шкідливі ярлики LNK, замасковані під звичайні документи DOCX. Ці файли, використовуючи знайомі іконки, такі як Microsoft WordPad, спонукають жертв до ненавмисного запуску шкідливих скриптів PowerShell, які встановлюють Lonepage.
  2. Маніпуляції з ZIP-файлами: UAC-0099 також використовує ZIP-архіви, спеціально створені для використання вразливості WinRAR. Ці файли розроблені так, щоб запускати вразливість, яка через низку недосконалостей у програмі дозволяє виконання довільного коду.
Вразливості в WinRAR які використовує Lonepage
Ланцюг вразливості в WinRAR

Хто такі UAC-0099?

Угруповання UAC-0099, вперше виявлене українською командою реагування на кіберінциденти CERT-UA у червні 2023 року, передусім націлене на українських робітників, які працюють у міжнародних компаніях. Їх тактика, хоч і не є інноваційною, виявилася ефективною для компрометації критично важливої інформації з широкого кола державних організацій та медіа-структур. Нещодавній аналіз Deep Instinct виявив тривожну тенденцію: постійний фокус групи на шпигунстві, що ставить під загрозу не лише організації, а й окремих осіб, які в них працюють.

Що таке Lonepage?

Lonepage – це бекдор, що використовується UAC-0099 у кампаніях кібершпигунства. Він призначений для прихованого проникнення в цільові системи та встановлення зв’язку з командно-контрольним сервером (C2). Після встановлення Lonepage може отримувати та виконувати подальші шкідливі інструкції з цього сервера.

Можливості Lonepage включають розгортання додаткового корисного навантаження, такого як клавіатурні шпигуни, викрадачі даних та інструменти для створення знімків екрана. Універсальність і здатність адаптуватися до різних середовищ роблять цього шкідника значною загрозою, здатною непомітно отримувати конфіденційну інформацію та здійснювати довготривале спостереження за скомпрометованими системами.

Рекомендації та пом’якшення наслідків

Оскільки зловмисники продовжують вдосконалювати свою тактику, організаціям, особливо тим, що мають зв’язки з Україною, вкрай важливо випереджати ці загрози за допомогою ефективних практик безпеки, безперервного навчання та надійного технологічного захисту. Боротьба з кіберзлочинністю триває, і обізнаність є першим кроком до захисту нашого цифрового майбутнього.

Ось кілька порад:

  • Переконайтеся, що все програмне забезпечення, особливо широко поширені програми, такі як WinRAR, мають найновіші виправлення безпеки.
  • Проводьте регулярні тренінги для співробітників, щоб навчити їх розпізнавати спроби фішингу та підозрілі додатки до електронних листів.
  • Впроваджуйте передові рішення з безпеки, включаючи брандмауери, антивірусні програми та системи виявлення вторгнень.
  • Виконуйте регулярний аналіз системи безпеки та постійно відстежуйте мережевий трафік на наявність ознак незвичайної активності.

LitterDrifter – російський USB-хробак, націлений на українські організації

USB-хробак LitterDrifter тісно пов’язаний із сумнозвісною групою “Gamaredon”, яка походить з Росії. Він націлений на українські організації. Це ще один інструмент у арсеналі російсього державного кібершпигунства. Це не лише демонструє адаптивність та інноваційність “Гамаредона”, але й піднімає питання про потенційні геополітичні наслідки цієї новітньої кіберзброї.

Хто такі Gamaredon?

Служба безпеки України (СБУ) пов’язала співробітників “Гамаредона” з Федеральною службою безпеки Росії (ФСБ), що додає діяльності групи геополітичного характеру. ФСБ, відповідальна за контррозвідку, боротьбу з тероризмом і військовий контроль, проливає світло на стратегічний і спонсорований державою характер операцій “Гамаредона”. Незважаючи на постійно змінний характер цілей, інфраструктура Gamaredon демонструє стійкі закономірності, що підкреслює необхідність ретельної перевірки з боку експертів з кібербезпеки.

LitterDrifter – Хробак у 2023?

Один з новітніх інструментів “Гамаредона” – черв’як LitterDrifter, що розповсюджується через USB накопичувачі. Це шкідливе програмне забезпечення, написане на VBS, демонструє адаптивність та інноваційність “Гамаредона”. Незважаючи на застарілий номінальний тип шкідника, він містить досить багато функцій, які необхідні в сучасних кібератаках.

Як частина інфраструктури APT (advanced persistent threat), LitterDrifter вносить глобальний аспект в діяльність “Гамаредона”. Окрім запланованих цілей в Україні, цей черв’як залишив по собі потенційні інфекції в таких країнах, як США, В’єтнам, Чилі, Польща, Німеччина і навіть у Гонконгу. Глобальне поширення LitterDrifter збільшує загальний потенціал загрози для кібератак світового масштабу.

Глобальне поширення LitterDrifter

Основна функціональність черв’яка LitterDrifter полягає в тому, що він є інструментом віддаленого доступу. Іншими словами, це бекдор з можливостями саморозповсюдження, подібними до тих, які були притаманні вірусам-хробакам. Він функціонує як прихована несанкціонована точка доступу в комп’ютерній системі, програмному забезпеченні або мережі, яка дозволяє отримати доступ до цільового середовища. У кібератаках бекдори здебільшого діють як інструменти початкового доступу та розвідки, які потім “відкривають двері” для подальшого проникнення шкідливого програмного забезпечення.

Діяльність Гамаредона проти України

Група “Гамаредон” проводить тривалу та цілеспрямовану кампанію кібершпигунства проти України та її структур. До її складу входять військові, неурядові організації, судові, правоохоронні та неприбуткові установи. Активність групи вперше зафіксована щонайменше у 2013 році. Група, яку підозрюють у зв’язках з російським кібершпигунством, послідовно зосереджується на проникненні в українські установи. Про це свідчить вибір україномовних приманок та основних цілей у регіоні.

LitterDrifter ще один інструмент, який використовує ця група у своїх різноманітних кіберопераціях. Як виявили дослідники, що здійснюють постійний моніторинг та аналіз, Gamaredon використовує LitterDrifter разом з іншими інструментами та шкідливим програмним забезпеченням для досягнення своїх цілей. Це ще більше зміцнило статус угруповання як APT, сконцентрованої на перешкоджанні інтересам України та її союзників.

Як захиститися від LitterDrifter?

У міру того, як LitterDrifter демонструє свій глобальний вплив, з’являється очевидний стимул до об’єднаного посилення глобального захисту у кіберпросторі. Здатність черв’яка долати кордони підкреслює актуальність міжнародної співпраці у боротьбі з кіберзагрозами та їх пом’якшенні.

Захист від таких загроз, як LitterDrifter, вимагає поєднання проактивних практик кібербезпеки та пильності. Ось кілька рекомендацій, які допоможуть посилити ваш захист:

  • Будьте обережні, підключаючи USB-накопичувачі до комп’ютера, особливо якщо вони з невідомих або ненадійних джерел. Використовуйте USB-накопичувачі, які мають режим “тільки для читання”, щоб запобігти несанкціонованому запису.
  • Регулярно створюйте резервні копії важливих даних і зберігайте їх у безпечному місці. У разі атаки зловмисників наявність останніх резервних копій допоможе вам відновити систему без сплати викупу.
  • Дотримуйтесь найкращих правил безпеки, таких як використання надійних і унікальних паролів, двофакторна автентифікація та обмеження привілеїв користувачів. Ці заходи можуть створити додаткові рівні захисту від різних кіберзагроз.
  • Слідкуйте за останніми новинами про загрози та слабкі місця у сфері кібербезпеки. Обізнаність у сфері загроз, що постійно змінюється, дозволить вам відповідно реагувати на них і адаптувати свої заходи безпеки.

Популярні схеми шахрайства у ТікТоці: що ховається за розважальним контентом

ТікТок стрімко набирає кількість своїх користувачів щодня. Аудиторія цієї платформи в Україні, станом на 2022 рік, нараховує близько 10 млн користувачів.

Формат коротких відео у ТікТоці зацікавив не тільки користувачі всього світу, але і шахраїв. Таким чином у них з’явилося більше способів для незаконного заробітку. В цій статті підготовлено список найбільш поширених видів шахрайства у ТікТоці.

1. Пропозиції швидкого збагачення

Шахраї найчастіше використовують методику обіцянок про великий прибуток при найменших зусиллях та вкладеннях. У соціальних мережах ви можете побачити багато реклами про вигідні інвестиції, які насправді є лише фінансовими пірамідами. Інколи мова йде про досить примітивне шахрайство: ви надсилаєте їм гроші, і більше ніколи їх не побачите – ані грошей, ані шахраїв.

З цього випливає, що користувачам потрібно бути більш уважними з вибором організацій, які пропонують ті чи інші інвестиції. Більше того, не ведіться на обіцянки отримати великі відсотки прибутку за короткий термін. Не ведіться на те, що багато продуктів і проектів рекламуються від відомого інфлюєнсера – це теж може бути обманом.

Шахрайський акаунт у Тік-Тоці
Так виглядає шахрайський профіль у Тік-Ток

2. Фішингові повідомлення

Фішингові листи також часто використовуються як метод для обману користувачів. Подібні листи виглядають цілком невимушено і нешкідливо. Але є один нюанс – мета цих листів полягає у тому, аби переконати користувача перейти за тим чи іншим посиланням чи вкладенням. В основному це пропозиції щодо того, як збільшити кількість підписників або як отримати значок верифікації.

Після того, як користувач відкриє подібне вкладення або посилання, він ризикує заразити свій ПК шкідливим програмним забезпеченням. Для крадіжки аккаунта, шахраї можуть надіслати посилання на сервер, який вкраде токен аутентифікації. Іншим варіантом подій є отримання запиту на введення своїх даних для входу в обліковий запис. Якщо користувач не використовує двофакторну аутентифікацію, то у хакерів ще більше шансів отримати доступ до всіх конфіденційних даних жертви.

Підроблений лист від ПейПал
Приклад фішингового листа, який маскується під сповіщення від ПейПал

3. Аккаунти ботів

Боти зараз поширилися на просторах багатьох соціальних мереж. Тік Ток – не виняток, тут боти поширюють неправдиву інформацію аби лише оволодіти конфіденційними даними, або ж для того, щоб поширити шкідливий контент. Таким чином користувач ризикує заразити свій смартфон або інший пристрій шкідливими програмами.

4. Шахрайські програми

Безкоштовні програми – завжди гарна приманка для користувачів. Тут шахраї пропонують встановити безкоштовно нібито зручні та корисні додатки. Але при переході на сайти для встановлення цих програм, користувач може отримати шкідливе ПЗ і втратити свої особисті дані. Тому краще завантажувати програми з перевірених джерел, таких як App Store або Google Play.

5. Підроблені акаунти знаменитостей

Деякі профілі є фейковими та видають себе за знаменитих особистостей. В основному їх контент – це все лише копіювання якогось офіційного профілю в ТікТоці або в іншій соціальній мережі. Їх метою є збільшення кількості підписників або зловмисні дії. Щоб не стати жертовою цієї шахрайської схеми, підписуйтесь тільки на верифіковані профілі.

Верифікований акаунт
“Галочка” верифікованого профілю підтверджує особу, що ним володіє

Як не стати жертвою поширених схем шахрайства у ТікТоці

Як і багато інших соціальних мереж, ТікТок не захищений від злому на сто відсотків. Однак ключовою вразливістю завжди був і залишається сам користувач, точніше, його неуважність та нехтування правилами кібербезпеки. Тому варто використовувати базові кроки та знання для того, щоб не стати жертвою шахраїв.

  • Використовуйте двофакторну аутентифікацію. Вона розрахована на те, щоб перевірити двічі особистість того, хто намагається ввійти в обліковий запис або в профіль тієї чи іншої соціальної мережі. Наприклад, користувач отримуватиме код на електронну пошту чи в текстовому повідомленні, щоб підтвердити вхід до облікового запису. Таким чином, у шахраїв менше шансів вкрасти вашу конфіденційну інформацію.
  • Створюйте надійний пароль. У цьому випадку важливо не використовувати прості і часто зламані паролі, такі як 1111, qwerty тощо. Найкраще створювати пароль з різних символів та літер верхнього та нижнього реєстру. Також не забудьте про те, що чотиризначний пароль легше зламати, ніж восьми-значний або десяти-значний.

Надійний пароль

  • Не зв’язуйся з обліковими записами, які публікують сумнівний контент. Якщо ви побачите подібне, скористайтесь кнопкою “Поскаржитися”. Таким чином ви збережете інших користувачів від, можливо, шахрайського профілю.

Все, Що Потрібно Знати про Програми-вимагачі (Ransomware) в 2022: Гайд Рекомендацій

Програми-вимагачі (ransomware) вважаються одним із найнебезпечніших видів шкідливих програм. Ви можете не погоджуватися, але все ж таки випадок, коли ваші дані стають недоступними, робить всі інші загрози значно меншими. У той час як атаки шпигунських програм, бекдори або рекламне програмне забезпечення намагаються зробити їх безшумними або, принаймні, не дуже помітними, програми-вимагачі заявляють про себе у повний зріст. Знання про те, як захистити свою систему від атаки програм-вимагачів, важливі незалежно від того, хто ви — фрілансер, співробітник величезної корпорації чи полковник у відставці.

Чому Важливий Захист від Програм-вимагачів (Ransomware)?

Проблема захисту від програм-вимагачів є досить актуальною, оскільки існує більше десятка різних груп кіберзлочинців, націлених на різні категорії користувачів. Кожен з них має різні способи розповсюдження, маскування та міцність ключа шифрування. Деякі з атак вимагачів можуть бути розшифровані через нерозсудливість їх розробників, деякі мають конструктивні недоліки, які роблять шифр простим перебором, що розшифровується.

РЕКОМЕНДАЦІЯ: Ви можете спробувати найкращий інструмент захисту від шифрувальників-вимагачів – Gridinsoft Anti-Malware. Цей інструмент захисту від шкідливого ПЗ виявляє, видаляє та запобігає програмам-вимагачам.
Ми покажемо вам способи захистити себе, коли ви є простим користувачем, а також коли ви перебуваєте в корпорації, спираючись на типові прийоми, які вони використовують. Крім того, ми також пояснимо робочі етапи захисту від програм-вимагачів.

Чи важливий захист вашого ПК від програм-вимагачів (Ransomware)?

По-перше, дозвольте мені пояснити, чому атака програм-вимагачів (ransomware) є такою поганою ознакою. Йдеться не лише про те, щоб зробити ваші дані недоступними. Існує кілька інших типів шкідливих програм, які запобігають доступу користувачів до файлів. Однак значного поширення вони не набули. Такі речі, як скрінлокери, шифрувальники-архіватори та ярликові віруси просто перестали існувати — і це не просто тому, що так склалося. Ось чому дуже важливо знайти гарне та працююче рішення для захисту від атак вимагачів.

Шифрувальники-вимагачі (принаймні більшість із них) використовують дуже складний шифр, який робить практично неможливим повернення ваших даних. Точніше, навіть якщо ви використовуєте сучасний квантовий комп’ютер, ви, скоріше за все, витратите більше кількох тисяч років на підбір ключа розшифровки.

ПРИМІТКА. До списку небезпечних програм-вимагачів входять: програма-вимагач Avaddon, програма-вимагач STOP/Djvu, шифрувальник LockBit, Makop і т.д.

приклад програми-вимагача STOP/Djvu

Але це ще не єдина катастрофа — деякі зразки програм-вимагачів несуть шпигунські ПЗ разом зі своїм основним навантаженням і збирають усі дані, до яких можуть дістатися. На жаль, ніхто (крім самих шахраїв) не може видалити вкрадені дані. Ось чому важливо знайти працюючі рішення для кращого програмного забезпечення для захисту від програм-вимагачів, щоб бути на озброєнні.

Взагалі відновлення файлів після атаки шифрувальника – складне завдання, якщо ви не збираєтесь платити викуп. Сучасні варіанти програм-вимагачів можуть видяляти тіньові копії томів, резервні копії OneDrive та інші популярні методи резервного копіювання. Шахраї часто лякають жертв тим, що будь-яка спроба відновлення файлів призведе до втрати даних.

Вони також можуть сказати, що ваші дані будуть видалені, якщо вимога про сплату викупу не буде виконана. У той час як перше частково вірне, друге – повна брехня – просто щоб налякати вас і змусити платити викуп. Проте мати справу із наслідками атаки ніколи не буває приємно. Давайте розберемося, як запобігти атакам програм-вимагачів.

Поради щодо запобігання атак програм-вимагачів (Ransomware)

Рекомендації щодо того, як залишатися в безпеці, залежать від вашого середовища. Шахраї будуть застосовувати різні підходи для атаки на окремого користувача чи співробітника компанії. Навіть коли ви працюєте вдома за своїм персональним комп’ютером, ви будете атаковані по-іншому, коли шахраї націлені не тільки на ваш комп’ютер, а й на всю компанію.

  1. Не використовуйте сумнівних/ненадійних джерел програмного забезпечення, фільмів та інших ризикованих матеріалів. Близько 90% випадків програм-вимагачів припадає на використання сторонніх сайтів для отримання потрібних програм або фільмів, не заплативши ні копійки.
  2. Пам’ятайте: безкоштовним може бути тільки шматок сиру в мишоловці. Великі гравці серед шифрувальників, такі як STOP/Djvu, навіть створюють свої сайти-одноденки, що імітують форуми зі зламаним софтом, або сторінки з новими фільмами для безкоштовного скачування. Торрент-трекінги, які поширюються через ці сайти, містять шкідливе ПЗ, яке виконується відразу після завершення завантаження.
  3. Не відкривайте вкладення електронної пошти від невідомих відправників. Шахраї спробують замаскувати свої адреси електронної пошти, щоб вони виглядали законно, але уважний погляд на них покаже вам правду.

  4. Якщо ви не впевнені, що отриманий вами електронний лист від служби доставки є реальним, не полінуйтеся перевірити список реальних адрес електронної пошти підтримки/доставки. І не будьте наївними – ніхто не пропонує отримати приз у лотереї, в якій ви ніколи не брали участі.
  5. Будьте обережні з програмним забезпеченням, яке ви знайшли на форумах чи соціальних мережах. Не всі з них небезпечні, і не всі небезпечні містять програми здирники. Але все одно користуватись такими програмами все одно, що купувати напої у брудному під’їзді.
  6. Ви ніколи не знаєте, справжній цей файл, або підроблений, але ви точно знаєте, хто винен у проблемах, які ви побачите наступного дня. Такий спосіб поширення досить рідкісний, але все ж таки не варто його викреслювати, особливо враховуючи високий рівень довіри до таких додатків.

Поради щодо запобігання впровадженню програм-вимагачів у корпорації

Ці поради будуть корисними як адміністраторам, так і співробітникам, яким доводиться мати справу з потенційними напрямками здійснення кібератак. Як правило, атаки на компанії здійснюються специфічними методами та не повторюють напрямки атак на фізичних осіб. Таким чином, ви можете побачити те, що є спільним для обох ситуацій.

  • Використовуйте захищене з’єднання RDP. Атаки RDP через брутфорс логіну та паролю є одним із найпоширеніших векторів атак. Вони використовуються для розгортання програм-вимагачів, шпигунських програм, просунутих постійних загроз (APT) і лише Бог знає чого ще. Дуже важливо контролювати цей момент; буде ідеально, якщо сисадміни самі налаштують усі RDP — щоб унеможливити будь-які невірні налаштування. Брутфорс з’єднання RDP стає доступним лише тоді, коли порти, які використовуються для встановлення з’єднання, є типовими та незахищеними. На жаль, ці порти використовуються за замовчуванням, тому недосвідчені користувачі, які вперше налаштовують RDP, швидше за все, виберуть їх.
  • Кластеризувати внутрішню корпоративну мережу. У більшості компаній всі комп’ютери підключені до однієї локальної мережі в одному офісі. Такий крок полегшує управління, але значно полегшує і зараження цієї мережі. Коли їх 4-5 штук, кожна з яких керується окремим ПК адміністратора, а потім — контролером домену, хакери, швидше за все, не зможуть атакувати усю мережу одразу.
  • Використовуйте 2FA для входу в вразливі місця. Щоб розширити свою присутність у зараженій мережі, зловмисники намагаються вкрасти облікові дані або перебрати всі місця, які можуть бути використані для поширення шкідливого ПЗ в мережі. Їхня кінцева мета – контролер домену – комп’ютер, який управляє всією мережею і має доступ до серверів. Його захист має бути максимально високим.
  • Ініціювати регулярну зміну пароля серед персоналу. Деякі з відомих атак сталися після витоку пароля з однієї з мереж. Крім того, просунуті атаки можуть тривати кілька місяців — а паролі, що раптово змінилися, повністю заплутати їх карти.

Як постскриптум хочу порадити уникати деяких поширених паролів — «qwerty», «12345» або щось таке. Успіх перебору є особливо важливим для таких простих паролів. Їх містять навіть найдешевші (або навіть безкоштовні) бази паролів для перебору. Використовуйте надійні паролі, щоб їх неможливо було зламати – це одна з головних запоруок успіху.

* Будь ласка, ЗВЕРНІТЬ УВАГУ: Ще однією поширеною помилкою є додавання особистої інформації в паролі. Дата народження вас чи вашого партнера, ім’я вашого, дата, коли ви приєдналися до компанії – все це дуже легко з’ясувати за допомогою даних з відкритих джерел. Майте це на увазі, створюючи таку важливу річ!

Покажіть співробітникам, як відрізнити підроблений лист від справжнього. Найчастіше саме компанії та їх електронні адреси стають цілями для подібного спаму, адже щодня надходять сотні листів. Вчитатися у деталі чи тим паче виявити підробку може просто не стати часу – особливо у “гарячі” дні перед святами.

* А кіберзлочинці не лінуються придумувати справді хитрі маскування для своїх листів. Вони можуть імітувати запити у вашу техпідтримку, пропозиції від інших компаній, повідомлення про рахунки, які потрібно сплатити компанії тощо. Немає нічого небезпечного в тому, щоб відкрити та прочитати таке повідомлення, але будь-які посилання в ньому і прикріплених файлах наражають вас на потенційну небезпеку.

*ХОЧУ НАГАДАТИ: дуже важливо вибрати для себе найкраще рішення для захисту від програм-вимагачів, щоб захистити себе та свій комп’ютер. Вивчивши необхідні матеріали та дослідження, ви захистите свій ПК від рекламного програмного забезпечення, шпигунських програм, програм-вимагачів та інших загроз.

Найкращий захист від шифрувальників-вимагачів(ransomware) можливий при постійному оновленні баз даних і, що важливіше, правильному про активному захисті. Ці дві речі вже дадуть досить високий коефіцієнт захисту. Тим не менш, проблеми більшості масових антивірусів нікуди не поділися: вони, як і раніше, можуть перевантажувати ваш ЦП/ОЗУ, а також розкидати вашу конфіденційність, надсилаючи багато телеметрії.

Ось чому я рекомендував би вам той, у якого немає обох цих недоліків — Gridinsoft Anti-Malware. Його бази даних оновлюються щогодини, а загальне споживання ЦП та ОЗУ досить низьке, щоб відповідати навіть найслабшим системам. Проактивний захист, заснований одночасно на евристичному двигуні та нейронній мережі, безперечно зробить ваш пристрій набагато більш захищеним від більшості типів шкідливих програм.

Прекурсори програм-вимагачів. Що це?

Нещодавно дослідники з компанії Lumu Technologies опублікували досить інформативну флеш-картку про програми-вимагачі. У 2021 році вони зібрали 21 820 764 індикаторів компромісу, які були пов’язані з одним із важливих етапів атаки програми-вимагача — прекурсор програми-вимагача.

Що таке прекурсор програм-вимагачів?

Фахівці з Lumu Technologies зазначають, що атаки програм-вимагачів не виникають нізвідки. Навпаки, вони часто ретельно й прискіпливо організовані. А попередник програм-вимагачів є важливою частиною всього ансамблю.

Хакери покладаються на ці види шкідливого програмного забезпечення, щоб зібрати необхідну інформацію в цільовій мережі та підготувати налаштування для крадіжки та шифрування даних. Тут криється можливість. Виявивши попередник програм-вимагачів, спеціалісти з кібербезпеки зможуть успішно зупинити повномасштабну атаку програм-вимагачів.

Повномасштабна атака програм-вимагачів є кінцевим результатом ланцюга, який починається з, здавалося б, не надто шкідливого зловмисного програмного забезпечення», — пишуть фахівці з Lumu Technologies у Flashcard.

Перервання будь-якого зв’язку зі зловмисними командно-контрольними серверами гарантує, що подальший етап атаки не буде виконано. За допомогою зловмисного програмного забезпечення-прекурсора хакери переміщуються по мережі і отримують доступ перед фактичним розгортанням зловмисного програмного забезпечення, яке краде та шифрує дані.

Прекурсори програм-вимагачів. Що це?
Візуалізований ланцюжок атаки програми-вимагача

Щоб спростити, ланцюжок атак програм-вимагачів складається з початкового доступу, це може бути фішинг, уразливість або зловмисне програмне забезпечення; потім з’являється попереднє шкідливе програмне забезпечення, як Dridex, Emotet і TrickBot. І останній етап — це фактичний вимагач, який краде та шифрує дані.

Чому це не варіант просто заплатити викуп?

Після шифрування файлів програма вимагає сплатити викупу за ключ дешифрування. Злочинці пишуть свої записки про викуп таким чином, щоб переконати жертву, що єдиний найдешевший і найпростіший спосіб – сплатити цей викуп.

Але часто фахівці з кібербезпеки попереджають, що тут немає нічого дешевого і легкого. Навпаки, більше негативних наслідків від сплати вимаганого викупу.

Найочевиднішою причиною побоювань з міркувань кібербезпеки може бути те, що у вас немає реальних гарантій того, що ви отримаєте свої файли назад. Хоча деякі групи загроз люб’язно обіцяють повернення даних.

Крім того, ви також не маєте гарантій, що у вашій системі не зостався залишок програми-вимагача. Уявіть, що ви щойно заплатили викуп, і ось вона знову повернулася. Ваші файли зашифровані.

І по-третє, у деяких країнах існують правові наслідки сплати викупу. Крім перерахованого вище, ви можете отримати проблеми із законом.

Статистика спеціалістів з Lumu щодо прекурсорів програм-вимагачів

Фахівці з Lumu Technologies також зібрали коротку статистику про те, яке саме шкідливе програмне забезпечення використовувалося як прекурсор програм-вимагачів. Така інформація стане в нагоді фахівцям з кібербезпеки, які зможуть «полювати» на конкретну загрозу.

Emotet, спочатку банківський троян, еволюціонував, і тепер включає доставку зловмисного програмного забезпечення та розсилку спаму, зайнявши перше місце, складаючи три чверті виявленого зловмисного програмного забезпечення-прекурсора в 2021 році. Це шкідливе програмне забезпечення працює разом у ланцюжку програм-вимагачів також із TrickBot для розгортання програм-вимагачів Conti та Ryuk.

Прекурсори програм-вимагачів. Що це?
Статистика використання програм-прекурсів, складена спеціалістами з Lumu Technologies

Phorpiex посів друге місце серед найбільш виявлених зловмисних програм-прекурсорів з 13% у 2021 році. Раніше Phorpiex використовувався для криптоджекінгу, але тепер він використовується для розгортання Pony, GandCrab, DSoftCrypt/ReadMe, BitRansomware, Nemty та Avaddon.

Dridex, який, як відомо, використовувався для крадіжки банківських облікових даних, тепер розгортає BitPaymer і DoppelPaymer. Було помічено, що Ursnif розгортає Egregor.

Інструмент для розшифровки програм-вимагачів Diavol

Увага всім! Прийшли хороші новини. Кожен користувач, який став жертвою програм-вимагачів Diavol, тепер може відновити свої файли за допомогою безкоштовного інструменту дешифрування.

Як користуватися безкоштовним інструментом розшифровки?

Перед використанням засобу розглянемо наступне. Це важливо для успішного використання рішення для дешифрування. Обов’язково помістіть зловмисне програмне забезпечення в карантин, щоб воно не поверталося, коли ви закінчите відновлення своїх файлів.

Експерти з кібербезпеки також радять, якщо вашу систему було зламано через функцію віддаленого робочого столу Windows, вам слід негайно змінити паролі всіх користувачів, які мають доступ, і перевірити облікові записи локальних користувачів, до яких зловмисники могли додати додаткові облікові записи.

Інструмент для розшифровки програм-вимагачів Diavol
Коли користувач стає жертвою цієї програми-вимагача

Порада також була б не змінювати назви файлів оригінальних і зашифрованих файлів. Дешифратор виконає порівняння імен файлів, щоб вибрати правильне розширення файлу, яке використовувалося для шифрування.

Інструмент дешифрування попросить вас надати доступ до пари файлів, яка має складатися з одного зашифрованого файлу та оригінального, незашифрованої версії зашифрованого файлу. Це потрібно для відновлення ключів шифрування, щоб розшифрувати решту ваших даних. Розмір файлу має бути близько 20 Кб або більше.

Щоб прочитати інструкцію щодо використання інструменту дешифрування, перейдіть за посиланням.

Що таке програмне забезпечення-вимагач Diavol?

Вперше виявленене ​​фахівцями з кібербезпеки в липні 2021 року, це сімейство програм-вимагачів показало, що воно має функцію подвійного вимагання. Це означає, що це зловмисне програмне забезпечення не тільки шифрує файли, але й, як стверджують його творці, може вилучати дані.

Wizard Spider, група кіберзлочинів, яка стоїть за сім’єю програм-вимагачів Конті та Рюка, а також керує ботнетом Trickbot, також керує програмним забезпеченням-вимагачем Diavol.

Інструмент для розшифровки програм-вимагачів Diavol
Записка про викуп програми-вимагача

Це сімейство програм-вимагачів використовує шифрування RSA і спеціально зосереджено на типах файлів, перерахованих операторами. Зловмисне програмне забезпечення позначає кожен файл із розширенням «.lock64», згодом скидаючи записку про викуп з інструкціями.

Програма-вимагач генерує для кожного комп’ютера жертви унікальний ідентифікатор, а потім намагається підключитися до жорстко закодованого сервера командування та керування (C&C).

Згідно з розслідуванням ФБР, вимоги викупу Diavol сягають 500 000 доларів, найнижча сума – 10 000 доларів.

Група TrickBot керує програмним забезпеченням-вимагачем Diavol

Слово «Діавол» походить з румунської і означає диявол. Дослідники кібербезпеки побачили, що на початку червня 2021 року програмне забезпечення Conti разом з Diavol було розгорнуто в мережі під час однієї і тієї ж атаки.

Дослідники проаналізували два зразки програм-вимагачів. Знайдені подібності між усіма включали майже ідентичні параметри командного рядка для однакової функціональності та використання асинхронних операцій введення-виводу для черги шифрування файлів. Але не було достатньо доказів, щоб формально зв’язати дві операції.

Інструмент для розшифровки програм-вимагачів Diavol
Візуалізований принцип роботи програми-вимагача

Через кілька місяців дослідники з IBM X-Force також виявили зв’язок між TrickBot, Anchor та програмним забезпеченням-вимагачем Diavol. Всі вони є продуктами, розробленими TrickBot Gang, відомим як Wizard Spider.

У січні 2022 року ФБР офіційно оголосило, що програма-вимагач Diavol має прямий зв’язок із бандою TrickBot, яка поширює нові консультативні індикатори компромісу, які спостерігалися під час попередніх атак. Крім того, ФБР не підтвердили заяви кіберзлочинців щодо витоку даних про жертви, незважаючи на повідомлення про вимагання, які погрожують це зробити.

Аналіз програм-вимагачів Diavol

Під час виконання на зламаній машині програма-вимагач вилучає код із розділу ресурсу PE зображень. Потім він завантажує код з буфера з дозволами на виконання.
Витягнутий код складається з 14 різних процедур, які виконуються в такому порядку:

  • Створює ідентифікатор жертви;
  • Ініціалізує конфігурацію;
  • Змінює шпалери робочого столу;
  • Проводить шифрування;
  • Запобігає відновленню шляхом видалення тіньових копій;
  • Знаходить файли для шифрування;
  • Знаходить усі диски для шифрування;
  • Ініціалізує ключ шифрування;
  • Зупиняє послуги та процеси;
  • Реєструється на сервері C&C та оновлює конфігурацію.

Коли все буде акуратно зроблено, програма-вимагач Diavol змінює фон кожного зашифрованого пристрою Windows на чорні шпалери з наступним повідомленням: «Усі ваші файли зашифровано! Додаткову інформацію див. у README-FOR-DECRYPT.txt».

У програмі-вимагачі Diavol немає жодних обфускацій, оскільки вона не використовує жодних трюків проти розбирання чи упаковки. Хоча це ускладнює аналіз, коли програма зберігає основні підпрограми в растрових зображеннях.

Говорячи про процедуру шифрування, програма-вимагач використовує асинхронні виклики процедур (APC) в режимі користувача з асиметричним алгоритмом шифрування.

Це те, що відрізняє це сімейство програм-вимагачів від інших, оскільки інші сімейства програм-вимагачів використовують симетричні алгоритми, що значно прискорює процес шифрування.

Рекомендовані засоби боротьби проти програм-вимагачів Diavol

Користувач може застосувати наведені нижче засоби, щоб зменшити ризик атаки програм-вимагачів:

  • Зосередьте увагу на обізнаності та навчанні з питань кібербезпеки. Роботодавці частіше мають надавати своїм працівникам інформацію про нові загрози та що робити у разі атаки;
  • Використовуйте лише приватні захищені мережі і уникайте публічних. Ви також можете розглянути можливість встановлення та використання VPN;
  • Використовуйте багатофакторну аутентифікацію, де це можливо;
  • Відключіть гіперпосилання в електронних листах;
  • Встановіть та регулярне оновлюйте антивірусне програмне забезпечення на всіх хостах, що також дозволяє виявляти загрозу в реальному часі;
  • Встановлюйте оновлення відразу після їх випуску;
  • Регулярно виконуйте резервне копіювання даних. Також увімкніть захист паролем через резервні копії в автономному режимі. Крім того, переконайтеся, що резервні копії даних недоступні для будь-яких несанкціонованих змін;
  • Виконайте сегментацію мережі та збереження автономного резервного копіювання даних;

Не знаючи, звідки може з’явитися сюрприз програм-вимагачів, завжди краще мати певні гарантії на випадок справжньої атаки.

Багато фахівців з кібербезпеки кажуть, що злочинна екосистема програм-вимагачів стає дедалі більше зростаючою, особливо коли все швидко переходить до цифрового існування. Вони висловлюють занепокоєння щодо того, чи встигає співтовариство кібербезпеки за трендами в кіберзлочинстві. Сказати напевно важко, але останні літні статті та наступні статті про арешт багатьох операторів програм-вимагачів показують зусилля спільноти кібербезпеки.

Вітайте на сцені LokiLocker!

Дослідники з BlackBerry повідомляють про нове виявлене сімейство програм-вимагачів. LokiLocker RaaS нещодавно з’явився на сцені, і, як кажуть експерти з кібербезпеки, він не даремно носить ім’я скандинавського бога. У розгорнутій статті дослідники детально розглянули код LokiLocker, пояснили, як працює програма-вимагач, а також додали короткий абзац з порадами про те, як користувачі можуть уникнути зловмисного програмного забезпечення.

То хто такий Локі?

Якщо говорити про скандинавську міфологію, то з усіх богів, Локі, бог-трикстер, може бути найцікавішим. Згідно з Brittanica, це божество могло змінювати форму та стать, маючи на меті лише хаос. У скандинавській міфології Локі зображується таким, що завжди має якусь хитрість задуману. Те ж саме можна сказати і про сімейство одноіменних програм-вимагачів.

Вітайте LokiLocker на сцені!
Скандинавський бог-трікстер Локі

Вперше дослідники виявили зловмисне програмне забезпечення в середині серпня 2021 року. Команда попереджає користувачів, не плутати це сімейство програм-вимагачів з LokiBot (викрадачем інформації) і зі старшим сімейством програм-вимагачів Locky, яке було в основному відоме в 2016 році. Хоча дослідники додають, що LokiLocker має певну схожість з програмою-вимагачем LockBit (наприклад, ім’я файлу нотатки про викуп, значення реєстру), але все одно не можна точно сказати, що перший є прямим нащадком останнього.

Що там сховано у рукавах трюкарів-вимагачів?

Нове сімейство програм-вимагачів націлено на англомовних користувачів, які працюють на ОС Windows. Зловмисники написали зловмисне програмне забезпечення в .NET і захистили його за допомогою NETGuard (модифікованого ConfuserEX), додатково користуючись допомогою плагіна віртуалізації під назвою KoiVM. Колись плагін був ліцензованим комерційним захисником для додатків написаних в .NET, але в 2018 році його код став відкритим (в спільноті говорять, що його було злито), і тепер він доступний на GitHub. Koi, здається, є досить популярним застосуванням серед інструментів злому, але дослідники визнають, що вони не бачили, щоб багато шкідливого програмного забезпечення використовувало його.

У найперших спостережуваних зразках троянізовані інструменти для злому, такі як PayPal BruteChecker, FPSN Checker від Angeal (Cracked by MR_Liosion), використовувалися як розповсюджувачі програм-вимагачів. Для тих, хто не знає, брут-чекери — це інструменти, якими користуються хакери, коли їм потрібно “перевірити” викрадені облікові записи та отримати доступ до інших облікових записів. Такий прийом називається перебивання облікових даних. Дослідники припускають, що причиною того, що спочатку ці хакерські інструменти розповсюджували шкідливе програмне забезпечення, можливо полягає в тому, що хакери проводили своєрідне бета-тестування перед тим, як вийти на широкий ринок.

Вітайте LokiLocker на сцені!
Коли ви стали жертвою цієї програми-вимагача, то отримаєте ось таке

Тепер зловмисне програмне забезпечення працює як схема з обмеженим доступом, яка залучає досить невелику кількість ретельно перевірених афіліятів. Для кожного партнера призначається ім’я користувача та унікальний номер чату. Наразі команда Blackberry нарахувала близько 30 різних афіліятів LokiLocker.

LokiLocker працює в звичайний як для програм-вимагачів спосіб. Він шифрує файли жертви на локальних дисках і мережевих ресурсах, а потім просить жертву сплатити викуп. У разі отримання відмови від виплати вимаганих грошей зловмисне програмне забезпечення знищує зашифровані файли і переводить систему в повністю непридатний стан.

Зловмисники використовують стандартну комбінацію AES для шифрування файлів і RSA для захисту ключа. Спілкування відбувається за допомогою електронної пошти, де злочинці дають інструкції щодо сплати викупу. Якщо викуп не проходить, програма-вимагач видаляє всі несистемні файли та перезаписує MBR.

Хто стоїть за LokiLocker?

Здається, що LokiLocker не націлений на певну географію, але дослідники відзначають, що найбільша кількість жертв була зі Східної Європи та Азії. При аналізі коду з’ясувалося, що з усіх країн Іран був виключений з цілей. Але заковика в тому, що ця частина коду не працює.

Коли хакери створюють такий нецільовий список в коді, то це зазвичай країни, які вони особисто не хочуть включати, або ті, які лояльні до їхньої незаконної діяльності.

Дослідники вважають, що Іран міг потрапити в такий нефункціональний нецільовий список кодів в якості намагання хакерами приховати справжнє походження програми-вимагача. Але чим далі в ліс, тим більше дрів.

Вітайте LokiLocker на сцені!
Ще один приклад того, коли користувач стає жертвою LokiLocker

Дослідники нарахували щонайменше три унікальних імен користувачів, які використовувалися афіліятами LokiLocker, і це ті, які можна знайти на іранських хакерських каналах. Хоча можливість також говорить, що це, можливо, було зроблено лише для того, щоб перекласти провину на іранських хакерів, а не на реальних виконавців.

Проте може бути, що це справді іранські хакери, що стоять за програмним забезпеченням-вимагачем, оскільки деякі з інструментів для злому, які використовувалися для розповсюдження перших зразків , дослідники припускають, були розроблені іранською командою хакерів під назвою AccountCrack.

Не можна з певністю сказати, хто грає в карти чи китайські чи російські хакери, але також було помічено, що всі вбудовані рядки налагодження написані англійською мовою і в основному без мовних та орфографічних помилок. Дослідницька група каже, що це не звичайна норма для програм із згаданих країн.

Які будуть висновки?

Новоз’явленні програми вимагачі пройшли досить розгорнутий аналіз, і команда зробила певні висновки.

Перш за все, дослідники Blackberrie роблять припущення, що використання KoiVM як захисника віртуалізації для додатків .NET може стати тенденцією до створення шкідливих програм. Хоча це досить незвичайний метод для ускладнення аналізу.

Вітайте LokiLocker на сцені!
Що отримують жертви програми-вимагача у разі їхньої відмови сплатити викуп

По-друге, бути впевненим у походженні програми-вимагача не можна. Деякі деталі натякають на іранське авторство LokiLocker, але все ж у нас є нецільовий список з Іраном, хоча ця частина коду і не працює.

І по-третє, з новою кіберзагрозою на сцені, краще записати кілька порад від людей, які знають. Дослідники Blackberry люб’язно надали їх нам. Хоча в наші дні люди повинні знати ці поради, як-от «Коли холодно, потрібно тримати своє тіло в теплі». Очевидна річ, резервне копіювання і ще раз резервне копіювання. Створіть резервну копію вашої будь-якої важливої ​​інформації. Більше того, тримайте пристрій відключеним (бажано) і в автономному режимі.

І не забувайте про загальні правила кібергігієни. Часто ми отримуємо проблеми зі здоров’ям від просто немитих рук перед обідом.

Немає безкоштовного інструменту для розшифровки файлів, зашифрованих LokiLocker. Якщо ваші файли було зашифровано програмним забезпеченням-вимагачем, повідомте про це місцеві органи поліції.

Не платіть викуп. Ви не тільки таким чином підтримуєте злочинну екосистему, і крім того немає гарантій, що ви отримаєте свої файли назад, або програмне забезпечення-вимагач не повернеться знову, оскільки ймовірно, що зловмисники встановили бекдор у вашому пристрої для легкого доступу в майбутньому.

Зловмисники зазвичай не виконують брутфорс довгих паролів

Дані, отримані від мережей Honeypot серверів компанії Майкрософт показали, що дуже мало брутфорс атак було спрямовано на довгі та складні паролі. Натомість зловмисники в першу чергу зосереджуються на коротких паролях. Росс Бевінгтон, дослідник кібербезпеки в Майкрософт, проаналізував дані на основі понад 25 мільйонів атак з використанням брутфорс на SSH. Це приблизно 30 днів даних у сенсорній мережі Microsoft.

« З 77% спроб зловмисники намагалися виконати брутфорс паролів, які містили від 1 до 7 символів. Брутфорс паролів, що містив більше 10 символів, зустрічався лише в 6% випадків», – повідомляє містер Бевінгтон.

Також, за його словами, лише 7% спроб брутфорсу були націлені на паролі зі спеціальним символом.

У 39% випадків паролі мали принаймні одну цифру, і не було зовсім зафіксовано атак, де паролі б містили пропуски. Росс Бевінгтон на додачу також навів статистику атак з виконанням брутфорсу. Вона показує, що на мережу серверів Honeypot (сенсорна мережа) Майкрософт було здійснено понад 14 мільярдів атак брутфорсу, а атаки на сервери Remote Desktop Protocol (RDP) включно до вересня цього року зросли втричі порівняно з 325%. Системи Docker і Kubernetes зазнали 110% атак, а брутфорс мережей друку зріс на 178%.

Стосовно статистики Бевінгтон додав, що показники SSH і VNC так само негативно високі, і не надто змінилися, беручи від минулого року. Очевидно, що довші паролі, які також складаються і зі спеціальних символів, то краще вони захищені проти атак. Проте це умовно, адже можуть бути випадки, коли паролі зливають в Інтернет, або вони вже є в брутфорс словниках хакерів. Менеджер Майкрософт порадив використовувати надійні паролі, керовану ідентифікацію та MFA, якщо ви все ж таки робите себе відкритим в Інтернеті. Тому що зловмисники, так чи інакше продовжуватимуть використовувати брутфорс до будь-якого доступного протоколу віддаленого адміністратора. За замовчуванням така функція, як RDP, вимкнута, але якщо ви вирішите її увімкнути, не робіть себе відкритим.

Що таке брутфорс?

Брутфорс є досить популярним методом зламу паролів, коли зловмисник намагається “вгадати” пароль та ім’я користувача, щоб отримати несанкціонований доступ до системи. Цей конкретний метод атаки має високий рівень успіху і становить п’ять відсотків підтверджених порушень безпеки. Деякі зловмисники все ще виконують брутфорс вручну, але в більшості випадків цю роботу виконують боти. Вони мають список справжніх або ж найбільш використовуваних паролів і виконують почерговий ввід, якщо відбувається успішний вхід в систему, то бот сповіщає зловмисника. Використовується брутфорс, між іншим для зараження сайтів шкідливим програмним забезпеченням, порушення роботи служби або крадіжка інформації. Та проте, які б не були наміри зловмисників, завжди краще перестрахуватися з довгими і складними паролями. Вони забезпечать високу надійність збереження ваших даних.