Ransomware არის ციფრული უსაფრთხოების თავმჯდომარე, რომელიც განკუთვნილია კომპიუტერის ფაილი სისტემები და cybercriminals მოითხოვს გადაიხადოს, რათა უზრუნველყოს ციფრული key.
ამჟამად, გადაიხადოს გადაიხადოს cybercriminals არ გადაიხადოს პრობლემა. თანამედროვე CISOs / CIOs შეუზღუდავი მოწინავე ransomware თავმჯდომარე. წავიდა დღეები ტრადიციული გზა მარტივი ფაილი კრეპტიზაცია ransomware თავმჯდომარე. დღეს, უსაფრთხოების ანალიტიკები და ლიდერები განიცდიან თანამედროვე cybercriminals, რომლებიც გამოიყენება კერძო და კომპლექსური მეთოდები ქარხანა საზოგადოება, რომელიც კონტროლი ბიზნეს ოპერაციები.
Cactus ransomware არის მოწინავე cyber attack. მას შემდეგ, რაც კაქტის ransomware აღმოაჩინეს, ის იღებს მსოფლიოში ტემპერატურა, რაც მსოფლიოში ეფექტი, როგორც ციფრული უსაფრთხოების რისკი. იგი სწრაფად გააუმჯობესდა და მიიღო მხარდაჭერა cybersecurity.
ზოგიერთი ეფექტები Black Basta ransomware არის შემდეგი:
- 2023 წელს შეტყობინებულა, რომ ვიკიპედიაში 107 მილიონი აშშ დოლარი იყო შეტყობინებული, და ეს შეტყობინება Black Basta იყო.
- მხოლოდ ჩრდილოეთ ამერიკაში ძირითადად შეხვდა ამ incidents, შემდეგი ევროპა, რომელიც შეიცავს 18%.
- Black Basta ransomware ყველაზე რთულია წარმოების, ქარხანა და სამშენებლო ინდუსტრიაში. იგი დაკავშირებული იყო 28 of 373 ransomware incidents გამოქვეყნდა აპრილი 2024.
- ციფრული უსაფრთხოების რჩევები, რომელიც აშშ-ის სააგენტოთა, FBI, CISA, HHS, და MS-ISAC- სთან ერთად გამოქვეყნდა, აღწევს, რომ Black Basta, ransomware ნოემბერს 2024, შეხვდა 12 16 მნიშვნელოვანი სფეროებში.
- Kaspersky- ის რისკების გამოქვეყნდა, რომ Black Basta ransomware 2023 წელს 12 ყველაზე აქტიური ransomware ოჯახის შორის იყო და 2024- ში მნიშვნელოვანი ზრდისა.
Cactus Ransomware- ის ძირითადი თვისება არის ორმაგი საღებავი. საღებავი საღებავი არ უზრუნველყოფს გადარჩენის კურსი, მაშინაც კი საღებავი გადახდის შემდეგ. მათ შეუძლიათ მონაცემების გადარჩენა ონლაინში. თუმცა, საღებავი საღებავი საღებავი საღებავი Cactus Ransomware- ის შემდეგ არ არის ნათელი; უსაფრთხოების მხარდაჭერები ვფიქრობ, რომ მას აქვს წყარო მალაიზიის hacktivist ჯგუფიდან.
A Look at the Cactus Attack Chains
Cactus ransomware არ არის საშუალო cyber threat – ეს არისhighly sophisticatedCactus ransomware დატვირთვა გამოიყენებს მრავალფეროვანი დატვირთვის პროცესს, რომელიც შეუერთებს სოციალური ინჟინერიზაცია (გალითად, ფარული Microsoft Teams შეტყობინებები), დისტანციური ხელმისაწვდომობის ინსტრუმენტები და მორგებული მორგებული სატვირთო პროგრამული მოწყობილობები სისტემების ინტეგრირება და შენარჩუნება.
მას შემდეგ, რაც ის შევიდა მიზანი სისტემაში, შეუზღუდავი მოვლენები არა მხოლოდ ფაილი დახურვა. ისინი მეშვეობით ქსელის, გააუმჯობესოს უფლებები, და შენარჩუნებს საწინააღმდეგო, ყველა მომზადების დროს საბოლოო ტკივილი: კრეპტიზაცია და საღებავი. მიუხედავად იმისა, რომ მათი კრეპტიზაცია დახურულია, როგორც უახლესი შემთხვევაში, ისინი ჯერ კიდევ გადაცემა შეუზღუდავი საღებავი შეტყობინებები მეშვეობით ელექტრონული ფოსტის - ნომერი, რომ ისინი შეუძლია შეესაბამება და გააკეთოს საღებავი საწყისი და ბოლოს.
როგორც პირველი კომფორტი, ransomware შეუზღუდავი მოვლენები ხშირად გამოიყენება უპატივებული სუპერტატები ფართოდ გამოიყენება პროგრამული უზრუნველყოფა, როგორიცაა VPN მომსახურება, remote desktop პროტოკები, ან ვებ პროგრამები, რათა მიიღოს პირველი ხელმისაწვდომი საწვავის ქსელის. საწვავი შეიძლება ასევე გამოიყენოთ ფიტნეს ელექტრონული ფოსტა ან შეუზღუდავი legitimate ვებ-გვერდები გაფართოების საწვავის ფოსტა. ეს ელექტრონული ფოსტა ხშირად შეიცავს საწვავის ფოსტა ან ბმულები, რომ, როდესაც გაიხსნა, განაყენებს ransomware.
In ამEstablishing Persistence phase,ერთხელ შიდა, თავმჯდომარე განაყენებს მონიტორინგი ინსტრუმენტებს ან მონიტორინგი ინსტრუმენტებს, როგორიცაა მონიტორინგი Trojan. ეს ინსტრუმენტები საშუალებას გაძლევთ მუდმივი ხელმისაწვდომობა და დაგეხმარებათ თავმჯდომარე აღჭურვილობა. თავმჯდომარე ხშირად ატვირთებს კონფიდენციალურობის მონაცემები კომბინირებული სისტემისგან (მომინერგი დომპტის ან ვებ ბრაუზერის კონფიდენციალურობის საშუალებით), რათა გააუმჯობესოს კონფიდენციალურობის მონაცემები და გაფართოდეს ქსელში.
მას შემდეგ, რაც გაქვთ ხელმისაწვდომობა ერთი მანქანა, თავმჯდომარე ხშირად იყენებს ქსელის scanning ინსტრუმენტებს, რათა დააყენოთ სხვა შეუზღუდავი მოწყობილობები ქსელში, როგორც მხარეს სქემები. ქსელის scanning საშუალებას იძლევა მათ გადარჩენა მხარეს სისტემები და ხელმისაწვდომობა უფრო მაღალი ღირებულება მიზნები. მას შემდეგ, რაც შეუზღუდავი მოწყობილობები აღინიშნება, ransomware შეუძლია გაფართოდეს ქსელის მეშვეობით SMB, RDP, ან გამოიყენოს შეუზღუდავი პროტოლოკები.
Data Exfiltration (Double Extortion)
Ransomware ჯგუფი სქესობრივი ან ღირებულ მონაცემები ექსფილტრატირება გარე ადგილებში (კოლადის შენახვის, კონტროლის და კონტროლის სერვერები). Advanced ransomware დაჯავშნა გამოიყენოს ორმაგი შერჩევა, სადაც cybercriminals დააყენებს დამატებითი წნევა კაცი გადაიხადოს გადაიხადოს რაოდენობა; თუ არა, ისინი შეუძლიათ გაფართოებული მონაცემები საზოგადოებრივი ფორუმში ან dark web.
ანგარიში TheISA Global Cybersecurity Alliance (ISAGCA) სათაურიაღსანიშნავია, რომ თანამედროვე რისკის მოვლენები განვითარდა, რათა გამოიყენოთ ახალი რისკების გაფართოების მეთოდები ციფრული უსაფრთხოების რისკების ფართობიში, და ორმაგი შერჩევის ransomware არის ერთ-ერთი მოწინავე მეთოდები, რომლებიც წლიდან 2020.
ფაილი ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ ჩვეულებრივ
Ransomware ხშირად გამოიყენებს ტექნოლოგია, როგორიცაა კოდი შეფუთვა ან შეფუთვა (გალითად, UPX ან კერძო შეფუთვა), რათა თავიდან ავიცილოთ აღჭურვილობა ტრადიციული უსაფრთხოების ინსტრუმენტები. ზოგიერთი ransomware განკუთვნილია აღჭურვილობა, თუ იგი იღებს sandbox გარემოში, რომელიც უსაფრთხოების ინსტრუმენტები გამოიყენოს ანალიზი malware. თუ იგი აღჭურვილობა sandbox, ეს შეიძლება შეამციროს ან შეწყვიტოს მისი შესრულება.
უსაფრთხოების ექსპერიმენტებს შეუძლია შეამოწმოთ უნიკალური ფაილების გაფართოება ან ფაილების renaming მოდელები, რომლებიც შეიძლება აჩვენოს კრეპტიზაციის საქმიანობას. ზოგიერთი დონეზე, შეამოწმოთ შეუზღუდავი ქსელის ტრანსპორტიის ექსპერიმენტების ან კომუნიკაციისთვის გარე IP-ები შეიძლება აჩვენოს ransomware საქმიანობას. შეამოწმოთ უნიკალური კომუნიკაციის გაფართოება, განსაკუთრებით კრეპტიზაციის გაფართოების, მხრივ მოვლენების ინსტრუმენტები, ან remote access ინსტრუმენტები, შეიძლება იყოს ძირითადი ეფექტურობა. კრეპტიზაციის შეტყობინებები დირექტორიაში ან ფაილ
Cactus's Tactics, Techniques, and Procedures (TTPs)
ჯგუფი საქმიანობა შეესაბამება ბევრი ცნობილი ტექნოლოგია cybersecurity MITRE ATT&CK Framework. აქ არის მარტივი გაზიარება:
- დაწყებული ხელმისაწვდომობა: Phishing (T1566.003), Collaboration tools abuse (T1199)
- პროგრამული უზრუნველყოფა (.bpx archives) (T1204.002)
- მგრძნობიარე: რეგისტრაციის ცვლილებები (T1547.001)
- Privilege Escalation: DLL sideloading (T1574.001)
- Defense Evasion: File Masquerading (T1036.005) და Firewalls (T1562.004) გააქტიურება
- Side Movement: გამოყენებით WinRM და SMB (T1021.002, T1021.006)
- კონტროლი და კონტროლი: BackConnect ინტელტატები (T1071.001, T1571)
- Exfiltration: WinSCP ფაილი გადაცემა (T1105)
- ეფექტი: ფაილი ჩაწერება (T1486), ransom notes, და რისკები
Final Thoughts
Cactus Ransomware- ის თავმჯდომარე და თავმჯდომარე, როდესაც Cactus- ის ინფექცია იპოვება, მოპოვებული მანქანებს ქსელისგან იზოლაცია მნიშვნელოვანია, რათა თავმჯდომარე შემდგომი გაფართოების თავმჯდომარე. კარგი, თავმჯდომარე და განახლებული backups მნიშვნელოვანია გადარჩენისთვის. რეგულარული backup უზრუნველყოფს სისტემებს გადარჩენის გარეშე გადაიხადოს გადარჩენის გადახდის. პოსტ-საქტი, ქსელის ანალიზი შეიძლება დაეხმაროს შეამოწმოს დატვირთული სისტემები, და მონაცემების გაფართოების მოცულობა. ორგანიზაციებს უნდა იყოს მძიმე, მონიტორინგი ძირითადი ინგრედიენტები, და
წარმატება ransomware თავმჯდომარე არ არის საკითხი განაყენოს ყველაზე მოწინავე ინსტრუმენტები; ეს არის შესახებ უფრო მთლიანად გამოიყენოს სწორი ინსტრუმენტები ეფექტურად, როგორც ნაწილი უსაფრთხოების სტრატეგიის.
