Istraživači iz Symanteca identifikovali su novu varijantu Linux ransomware-a povezanu sa dvojezičnom (engleskom i španskom) grupom dvostrukog iznuđivača.
Ova nova prijetnja predstavlja značajne rizike za organizacije šifrovanjem i eksfiltracijom osjetljivih podataka, zahtijevajući plaćanje otkupnine za dešifrovanje i zaštitu podataka.
Dvostruka iznuda ransomwar je posebno opasan tip cyber napada u kojem napadači šifruju podatke žrtve i kradu osjetljive informacije.
Ova dvostruka prijetnja pruža sajber kriminalcima dodatnu polugu da zahtijevaju isplatu otkupnine. Za razliku od tradicionalnih ransomware napada koji uključuju isključivo enkripciju podataka, dodatni rizik eksfiltracije podataka značajno povećava potencijalnu štetu za organizacije u svim industrijama.
Ransomware ponašanje
Prema izvještaju Symanteca , njihov modus-operandi u ovom trenutku ostaje nejasan. Ransomware deponuje poruku o otkupnini u /root/README.txti /user/[username]/README.txt, upućujući žrtve o sljedećim koracima.
On nasilno zaustavlja kritične procese i usluge, uključujući PostgreSQL, MongoDB, MySQL, Apache2, Nginx i PHP-FPM, kako bi se osiguralo da se napad odvija bez smetnji.
Dodatno, /etc/motddatoteka se prepisuje porukom upozorenja: „Vaši fajlovi su ukradeni i šifrovani. Pročitajte README.txt za više informacija.”
"Your files have been encrypted and downloaded to our servers.
Sus archivos han sido cifrados y descargados a nuestros servidores.
Decryption of your files is not possible without our decryption software.
El descifrado de sus archivos no es posible sin nuestro software de descifrado.
We have terabytes of your company data, including employee emails, employee passwords, and customer databases.
Tenemos terabytes de datos de su empresa, incluidos correos electrónicos de empleados, contraseñas de empleados y bases de datos de clientes.
To prevent the leaking of this data and to obtain the decryption software, contact us using one of these methods:
Para evitar la filtración de estos datos y obtener el software de descifrado, contáctenos utilizando uno de estos métodos:
Session (hxxps[:]//getsession[.]org)
ID: [REMOVED]
hxxps[:]//getsession[.]org/blog/session-for-beginners" Obavještenje o otkupnini na engleskom i španskom obavještava žrtve da su njihovi fajlovi šifrovani i eksfiltrirani. Upozorava da je dešifrovanje nemoguće bez softvera napadača. Također prijeti da će procuriti osjetljive podatke kompanije, uključujući e-poštu zaposlenika, lozinke i baze podataka klijenata, osim ako se ne kontaktira putem ‘Session’— aplikacije za razmjenu poruka usmjerene na privatnost.
Symantec je klasifikovao ovu prijetnju pod Ransom.Gen i nudi robusnu zaštitu kroz svoja rješenja Data Center Security (DCS).
Preporuke za organizacije
Organizacijama se savjetuje da:
- Implementirajte sigurnosna rješenja: implementirajte sveobuhvatna sigurnosna rješenja za zaštitu od prijetnji ransomware-a.
- Redovne sigurnosne kopije: Održavajte redovne sigurnosne kopije kritičnih podataka kako biste osigurali oporavak bez plaćanja otkupnine.
- Obuka zaposlenih: Obrazujte zaposlene o prepoznavanju pokušaja krađe identiteta i drugim uobičajenim metodama isporuke ransomware-a.
- Segmentacija mreže: Segmentirajte mreže kako biste ograničili širenje ransomwarea u slučaju infekcije.
Izvor: CyberSecurityNews
