Ödemeler için yeni bir yaklaşım kullanan bir fidye yazılımı enfeksiyonuna göz atıyoruz: kurbanın sigorta bilgilerini istemek.
Fidye yazılımı yazarları, siber güvenlik sigortası tartışmasına biraz tuhaf bir şekilde giriyor. Spesifik olarak: mağdurları, saldırı altındaki şirkete faydalı olacak bir fidye ayarlamak için sigorta sözleşmelerinin ayrıntılarını ifşa etmeye teşvik etmek.
HardBit 2.0: bir cihazı parça parça sökme
HardBit 2.0 adlı fidye yazılımı, geçen yıl Kasım ayından beri dolaşımda. Bir ağa nasıl geldiğine dair belirli bir bilgi olmamasına rağmen, oraya vardığında tipik fidye yazılımı işlemleri gerçekleştirir:
- Dosyaları, dosyanın özel logosuyla markalayarak şifreler
- Sistem/ağ verilerini toplar
- Etkilenen sistemlerin genel güvenliğini azaltır
- Kurtarma seçeneklerini ve kurcalamaya karşı korumayı devre dışı bırakır, birden çok Windows Defender özelliğini kapatır ve gerçek zamanlı izleme ve Birim Gölge Kopyası Hizmeti gibi yedeklemelerle ilgili Windows hizmetleri dahil olmak üzere diğer bazı güvenlik özelliklerine müdahale eder.
Şifreleme uyarı mesajı ne diyor?
HardBit 2.0, dosyaları şifreler ve güvenliği ihlal edilmiş masaüstlerinde aşağıdaki enfeksiyon mesajını gösterir:
Tüm önemli dosyalarınız çalınır ve şifrelenir! PC’nizdeki bir güvenlik sorunu nedeniyle tüm dosyalarınız şifrelendi. Onları geri yüklemek istiyorsanız, lütfen kimliğinizi bizim için gönderin.
İletişim bilgilerimiz “Dosyalarınızı nasıl geri yüklersiniz” dosyasında yazılıdır.
Bizimle iletişime geçmek veya ödeme yapmak için 48 saatiniz var. Bundan sonra, iki kat ödemek zorunda kalacaksınız.
Lütfen yardım dosyasının altında yazan tuşa hiçbir şekilde dokunmayınız.
Saldırganlar, tıpkı Mortal Kombat fidye yazılımı gibi, ele geçirilenlerden iletişim kurmak için Tox Messenger’ı kullanmalarını ister. Yazarlar, bu özel açıdan yararlanmak için özel bir sızıntı sitesi olmamasına rağmen, verileri şifrelemenin yanı sıra çalmayı da iddia ediyorlar. Bu durumda, grubun hedef aldığı kuruluşların çoğunun dikkati fidye taleplerine yönelik “benzersiz” yaklaşımları nedeniyle dikkati dağılmış olabilir.
Yardım eli?
Geçmişte fidye yazılımı yazarlarının kurbanlarını önemsediklerini iddia ettiklerini gördük. Bazı fidye yazılımı grupları, bu hikayeler halka açıklandığında kendilerini hastaneler veya kritik hizmetler gibi etkilenen varlıklardan kaldıracaktır. Kilometreniz, bunun yüzü kurtaran bir PR hareketi olup olmadığına veya biraz fazla ileri gitmeyi gerçekten umursayıp umursadıklarına göre değişebilir.
Burada, kurbanlara siber sigorta poliçelerinin ayrıntıları hakkında sorular sorarak “yardım etmek” için ellerinden geleni yapıyorlar. Varonis’e göre, Bitcoin veya başka bir kripto para birimi türü için kesin bir talep yok. Onun yerine uzun, saçma sapan bir fidye notu var.
Notta, nihai fidye taleplerinin, sigorta talebi gerekliliklerine uymasını sağlamak için ayarlanacağı uzun uzadıya açıklanmaktadır. Sigortacıyı kurbandan para alıkoymak isteyen bir tür kötü aktör olarak resmediyor. Dolandırıcılara sigorta toplamının ne olduğu özel olarak anlatılırsa, para taleplerinin
A) sağlanan fidye ödeme ölçeğinin en üst sınırında ve
B) gitmez geçmiş bu sınır, böylece etkilenen şirket ödedikleri her kuruşu alır. Kurban ve saldırgan ellerinden geldiğince fazlasını alacakları için bu, her iki taraf için de karşılıklı olarak faydalı bir anlaşma olacak şekilde tasarlanmıştır.
Elbette, fidye yazılımı yazarlarının potansiyel olarak gizli sigorta bilgilerinin ifşasını kurbana karşı daha sonraki bir tarihte kullanmayacağına dair hiçbir garanti yoktur. Bu seçimle sunulan herhangi biri, gerçekten bazı parmakları geçmenin ve en iyisini ummanın yaşayan nefes alma tanımıdır.
Malwarebytes bu tehdidi Trojan.Crypt.Generic olarak algılar.
Fidye yazılımından nasıl kaçınılır?
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde yamalamak için bir plan oluşturun; RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin; fidye yazılımı dağıtmak için kullanılan açıkları ve kötü amaçlı yazılımları tespit edebilen uç nokta güvenlik yazılımı kullanın.
- İzinsiz girişleri algıla. Ağları bölümlere ayırarak ve ihtiyatlı bir şekilde erişim hakları atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı gerçekleşmeden önce olağandışı etkinliği algılamak için EDR veya MDR’yi kullanın.
- Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını belirlemek için birden çok farklı algılama tekniği kullanan Malwarebytes EDR gibi Uç Nokta Algılama ve Yanıt yazılımını dağıtın.
- Tesis dışı, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri, saldırganların erişemeyeceği bir yerde, tesis dışında ve çevrimdışı tutun. Temel iş işlevlerini hızlı bir şekilde geri yükleyebildiğinizden emin olmak için bunları düzenli olarak test edin.
- Bir olay müdahale planı yazın. Bir fidye yazılımı saldırısından sonraki dönem kaotik olabilir. Bir salgını nasıl izole edeceğinizi, paydaşlarla nasıl iletişim kuracağınızı ve sistemlerinizi nasıl geri yükleyeceğinizi özetleyen bir plan yapın.
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.