Sve što trebate znati o datotečnom Ransomware-u

Tržište ransomwarea razvija se. Stigla je nova pasmina zlonamjernih agenata. Obilježena je nevidljivošću i žrtvama u mnogim telekomunikacijskim kompanijama, vladinim agencijama i bankarskim institucijama itd. Ovi napadi naveli su IT odjela u tvrtkama širom svijeta da budu budni. Radnicima su data detaljna upozorenja da ne otvaraju nezaštićene privitke e-pošte i da izbjegavaju posjećivanje sumnjivih web stranica i aplikacija trećih strana. Tehnički poznati kao ransomware bez datoteka ili zlonamjernog softvera, ovi alati predstavljaju veliku prijetnju. Koriste Microsoftov PowerShellov skriptni jezik za ciljanje organizacija koje koriste dokumente i / ili aplikacije koje pokreću makronaredbe.


Sve što trebate znati o datotečnom Ransomware-u

Sve što trebate znati o datotečnom Ransomware-u

Što je PowerShell?

Programski jezik orijentiran automatizacijom zadataka, PowerShell se koristi u MS OS-u zajedno s više od 100 alata naredbenog retka.

Što znači Rashomware bez datoteke bez problema za PowerShell?

Ransomware koristi skripte ili makronaredbe utemeljene na PowerShell-u za šifriranje datoteka. To se razlikuje od tradicionalnog ransomwarea koji je obavljao enkripciju datoteka na temelju podataka.

Pregled napada bez datoteka

Jedan od najvećih hakova u povijesti počinio se bez datoteke. Godine 2016. netko je ukrao neke dokumente iz Demokratskog nacionalnog odbora (DNC) koji su potom pušteni zbog utjecaja na predsjedničke izbore te godine. To je učinjeno putem lažnih e-poruka s kompromitiranim vezama dostavljeno je radnicima DNC-a. Nakon klika napad je pokrenut kroz PowerShell i WMI.

Prema Charlesu Gaughfu, Security Lead with (ISC) ², internetski sigurnosni NPO, napadi bez datoteka obično se organiziraju putem krađe identiteta i internetskih stranica s automatskim pristupom..

Drugi napad pomoću medija bez datoteka pogodio je više od 140 banaka i financijskih organizacija iz više od 40 zemalja početkom 2017. Napadač je ušao u sustav koristeći nepakirani poslužitelj.

Tada je učitao kompromitirajući kôd u memoriju pomoću PowerShell skripti i Windows registra.

Nadalje, napadači su kontrolirali sustave koristeći standardne uslužne programe sustava koji se sastoje od uslužnih programa naredbenih redaka poput NETSH i SC.

Taj im je daljinski pristup omogućio postavljanje zlonamjernog softvera s prebivalištem u memoriji. To je učinjeno na bankomatima kojima je zatim naređeno da izbace svoju gotovinu. Napadači su zgrabili taj novac i otišli. Kako nije bilo datoteka na bilo kojem sustavu, otkrivanje kršenja bilo je vrlo teško.

Dva glavna načina bezlesnog infiltriranog sustava Ransomware

Korištenjem phishing napada generiranih putem e-pošte, napadač može skriptirati makronaredbe u sistemsku memoriju. To dovodi do automatski generiranih zahtjeva za otkupninu i šifriranja podataka.

Drugi način je putem nesigurnih web stranica kojima radnik pristupa. To omogućuje napadačima da ciljaju RAM putem skripti. To im omogućuje pristup informacijama i zahtijevanje plaćanja kriptovalutama. U suprotnom, njihovi će se podaci šifrirati i učiniti neupotrebljivima.

Vrste napada bez datoteka

Postoje četiri osnovne vrste bez datoteke bez ranjivanja koje biste trebali znati:

  • Napadaji koji isključuju pamćenje: Ovi napadi pristupaju Windows memorijskim uslugama kako bi širili njihov domet. Na tržište su stigli već 2001. Međutim, to se može riješiti ponovnim pokretanjem sustava.
  • Tehnike postojanja bez datoteke: Takvi se napadi ne mogu ukloniti jednostavnim ponovnim pokretanjem čak i ako tvrdi disk nije zaražen. To se događa pomoću sustava Windows Registry za pohranjivanje zaraznih skripti koje nastavljaju infekciju čak i nakon ponovnog pokretanja.
  • Alat za dvostruku upotrebu: Takvi se napadi izvode zarazom aplikacija sustava Windows. To se radi kako bi se dobio pristup ciljanim sustavima ili za prijenos podataka napadačima.
  • Napadi nestalnih izvršnih datoteka (PE): Takvi napadi koriste i alate i skripte da bi izvršili svoj utjecaj kroz PowerShell, CScript ili WScript.

Zašto je Ransomware toliko popularan?

Ransomware je jednostavan za upotrebu. Obično tvrtke ne razmišljaju dvaput prije nego što plate otkupninu, nego riskiraju gubitak podataka ili steknu lošu promidžbu. Rast kripto valuta također je poboljšao održivost ransomwarea. Anonimni načini plaćanja omogućuju hakerima teško pronalaženje načina da izvuku novac od svojih žrtava. Istodobno, prijenos kriptovaluta ne može se preokrenuti i na taj način su učinkoviti i sigurni.

Ono što Ransomware bez datoteka čini jedinstvenim?

Ransomware bez datoteke je jedinstven jer ga je teško otkriti. To je zato što se izvornom skriptnom jeziku ili RAM-u ubacuje zarazni kod. To ga omogućuje skrivanje u memoriji i pokretanje naredbi odatle.

Što podrazumijeva napade Ransomware bez datoteke?

  1. Ransomware bez datoteke učinkovito se ne može pratiti čak ni kod komercijalnih antivirusnih programa.
  2. Ovi napadi ostavljaju vaš sustav širom otvorenim za zlouporabu cyber-kriminalaca. S vašom mrežom ili uređajem mogu učiniti sve vrste stvari nakon što ih hakiraju, uključujući krađu / šifriranje podataka bez otkrivanja.
  3. Oni također otvaraju kompromitirani uređaj u višestrukim napadima. To je zato što napadač može pisati skripte dok izvlači podatke s kompromitiranog uređaja.

Zaštita od bez datoteke Ransomware

Iako se ransomware bez datoteke učinkovito prepoznaje uobičajenim antivirusnim softverom, postoji nekoliko stvari koje možete učiniti kako biste ih spriječili. Prvo što treba učiniti je osigurati da kritičnim podacima ne pristupa nitko. Druga stvar je osigurati da vaša ranjivost ljudskim pogreškama nije izložena.

To znači da vaši zaposlenici moraju znati o socijalnom inženjeringu i kako to mogu spriječiti. Naravno, trebat će vam i ažurirani sustav koji sadrži sve nedavne sigurnosne zakrpe. Evo nekoliko savjeta i prijedloga danih u nastavku kako biste dodatno poboljšali svoju sigurnost od bez datoteke bez ransomwarea:

Još savjeta

  • Osigurajte sigurnosno kopiranje podataka: Biti zaštićen znači samo napamet od napada. Trebali biste osigurati da netko prati vaše podatke i čuva sigurnosne kopije kritičnih datoteka. To će vam omogućiti da razoružate takve napade pristupom točki vraćanja na koju povreda ne utječe.
  • Budite budni: Isključite sve makronaredbe U protivnom, suzdržite se od otvaranja datoteka za koje niste sigurni. U slučaju bilo kakvih nedoumica, trebali biste kontaktirati sa svojim IT administratorom.
  • Zaustavite zlonamjerne e-poruke, web stranice i interakciju putem preglednika i poslužitelja. Trebate slijediti oprez kad se bavite potencijalno zlobnom e-poštom. Jednostavno blokirajte sve što se čini da nije originalno ili ima i najmanji osjećaj sjene.  

Uz samo malo opreza, možete ostati zaštićeni od svih vrsta ransomwarea – redovnih ili bez datoteka.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me