Minden, amit tudnia kell a Fileless Ransomware-ről

A ransomware piac fejlődik. Megérkezett a rosszindulatú ágensek új fajtája. A lopakodás jellemzi, és számos telekommunikációs társaságban, kormányhivatalban és bankintézményben áldozatokká vált. Ezek a támadások arra késztetik a világ minden tájáról származó vállalatok informatikai osztályait, hogy figyelmeztessék magukat. Részletes figyelmeztetéseket küldtek a munkavállalóknak a nem biztonságos e-mail mellékletek megnyitásának elkerülése érdekében, valamint a gyanús webhelyek és harmadik féltől származó alkalmazások látogatásának elkerülése érdekében. Technikailag fájl nélkül vagy rosszindulatú szoftverek nélkül ismert ransomware néven ismert, ezek az eszközök komoly veszélyt jelentenek. A Microsoft PowerShell szkriptnyelvét használják a makrókon keresztül futó dokumentumokat és / vagy alkalmazásokat használó szervezetek célzására.


Minden, amit tudnia kell a Fileless Ransomware-ről

Minden, amit tudnia kell a Fileless Ransomware-ről

Mi a PowerShell??

A feladat-automatizálás-orientált programozási nyelv, a PowerShell az MS OS-ben, több mint 100 parancssori eszköz mellett használható.

Mit csinál a Fileless Ransomware a PowerShell-rel?

A Ransomware a PowerShell alapú szkripteket vagy makrókat használja a fájlok titkosításához. Ez különbözik a hagyományos ransomware-től, amely adat-alapú fájl titkosítást hajtott végre.

A fájl nélküli támadások áttekintése

A történelem legnagyobb hackei között fájl nélkül elkövetették. 2016-ban valaki lopott néhány dokumentumot a Demokratikus Nemzeti Bizottságtól (DNC), amelyeket akkor engedtek szabadon, hogy befolyásolják az abban az évben elnöki választásokat. Ezt a veszélyeztetett linkekkel ellátott adathalász e-mailek útján küldték el a DNC munkatársainak. A kattintás után a támadás a PowerShell és a WMI segítségével működött.

Charles Gaughf, a biztonsági vezető (ISC) ², egy online biztonsági NPO, a fájl nélküli támadásokat általában adathalász linkek és drive-by webhelyek üzemeltetik..

Egy újabb, fájl nélküli adathordozókat használó támadás 2017 elején több mint 40 ország 140 bankját és pénzügyi szervezetet sújtott. A támadó egy kiszolgálón keresztül került be a rendszerbe, amelyet még nem küldtek el.

Ezután kompromittáló kódot töltött be a memóriába a PowerShell parancsfájlok és a Windows Registry segítségével.

Ezenkívül a támadók átvették a rendszerek irányítását a szokásos rendszer segédprogramok segítségével, amelyek olyan parancssori segédprogramokból álltak, mint a NETSH és az SC.

Ez a távoli hozzáférés lehetővé tette számukra a memória-rezidens ATMitch rosszindulatú programok beállítását. Ezt ATM-eknél hajtották végre, amelyeket akkor parancsolták a készpénz kiszállítására. A támadók megragadták ezt a készpénzt, és távoztak. Mivel egyetlen rendszerben sem volt fájl, a megsértés felismerése nagyon nehéz volt.

A két fő módszer a fájl nélküli Ransomware beszivárgási rendszerek számára

Az e-mailek révén generált adathalász támadások segítségével a támadó szkriptelhet makrókat a rendszer memóriájába. Ez automatikusan generált váltságdíj-igényhez és az adatok titkosításához vezet.

A második módszer a nem biztonságos weboldalak révén történik, amelyekhez a munkavállalók férnek hozzá. Ez lehetővé teszi a támadók számára, hogy szkripteken keresztül célozzák meg a RAM-ot. Ez lehetővé teszi számukra az információkhoz való hozzáférést és a kriptovaluta fizetéseket. Egyébként az adatok titkosítva lesznek és használhatatlanná válnak.

A fájl nélküli támadások típusai

Négy alapvető típusú fájl nélküli ransomware van, amelyeket tudnia kell:

  • Memória-kizárólagos támadások: Ezek a támadások hozzáférést biztosítanak a Windows szervizmemóriáihoz, hogy elterjesszék őket. Már 2001-ben érkeztek a piacra. A rendszer újraindításával megoldhatók lehetnek.
  • Fájl nélküli perzisztencia technikák: Az ilyen támadások nem távolíthatók el egyszerű újraindítással, még akkor sem, ha a merevlemez nem fertőzött. Ez a Windows Registry használatával történik a fertőző szkriptek tárolására, amelyek újraindítás után is folytatják a fertőzést.
  • Kettős felhasználású szerszámok: Az ilyen támadásokat a Windows rendszer alkalmazásai megfertőzésével hajtják végre. Ennek célja a célrendszerekhez való hozzáférés vagy az adatok továbbítása a támadók számára.
  • Nem hordozható végrehajtható (PE) fájl támadások: Az ilyen támadások mind eszközöket, mind szkripteket használnak, hogy hatásukat a PowerShell, CScript vagy WScript segítségével fejlesszék ki.

Miért olyan népszerű a Ransomware??

A Ransomware könnyen használható. Általában a vállalatok nem gondolkodnak kétszer, mielőtt fizetnek váltságdíjat, ahelyett, hogy kockáztatnák az adatvesztést vagy a rossz nyilvánosságot. A kriptovaluták növekedése szintén javította a ransomware életképességét. Az anonim fizetési módok lehetővé teszik a hackerek számára, hogy nehezen nyomon követhetőek az áldozatok pénzének kinyerésére. Ugyanakkor a kriptovaluta átutalások nem fordíthatók vissza, tehát hatékonyak és biztonságosak.

Mi teszi egyedivé a Fileless Ransomware szoftvert?

A fájl nélküli ransomware egyedülálló, mivel nehéz felismerni. Ennek oka az, hogy a natív szkriptnyelv vagy a RAM befecskendezi a fertőző kódot. Ez lehetővé teszi, hogy elrejtse a memóriában és futtasson onnan parancsokat.

Mit jelent a Fileless Ransomware támadása??

  1. A fájl nélküli ransomware valóban nyomon követhetetlen, még kereskedelmi minőségű antivírusok esetén is.
  2. Ezek a támadások nyitva hagyják a rendszert a számítógépes bűnözők számára. Mindenféle dolgot megtehet a hálózattal vagy az eszközzel, miután feltörik, beleértve az adatok ellopását / titkosítását anélkül, hogy észlelésük lenne.
  3. A veszélyeztetett eszközt több támadáshoz is megnyitják. Ennek oka az, hogy a támadó szkripteket írhat, miközben információkat szerez a veszélyeztetett eszközről.

Védje meg magát a Fileless Ransomware ellen

Annak ellenére, hogy a fájl nélküli ransomware a szokásos víruskereső szoftverekkel ténylegesen nem észlelhető, számos dolgot megtehetsz annak megelőzése érdekében. Az első lépés, hogy megbizonyosodjon arról, hogy senki sem fér hozzá a kritikus adatokhoz. A második dolog az, hogy ügyeljünk arra, hogy az emberi hibák által okozott sebezhetőség ne kerüljön felfedésre.

Ez azt jelenti, hogy az alkalmazottaknak tudniuk kell a szociális műszaki ismeretekről és arról, hogyan tudják ezt megelőzni. Természetesen szükség lesz egy frissített rendszerre, amely tartalmazza az összes legújabb biztonsági javítást. Van néhány további tipp és javaslat az alábbiakban, hogy tovább javítsuk a biztonságot a fájl nélküli ransomware ellen:

További tippek

  • Gondoskodjon arról, hogy adatait biztonsági másolat készítse: Védelem alatt áll a támadások figyelme. Gondoskodnia kell arról, hogy valaki nyomon kövesse adatait, és a kritikus fájlokat biztonsági másolatként tárolja. Ez lehetővé teszi az ilyen támadások hatástalanítását egy olyan helyreállítási pont elérésével, amelyet a sértés nem érint.
  • Legyen éber: Kapcsolja ki az összes makrót. Ellenkező esetben ne nyisson meg olyan fájlokat, amelyekben nem biztos benne. Kétség esetén vegye fel a kapcsolatot az informatikai adminisztrátorral.
  • Állítsa le a rosszindulatú e-maileket, weboldalak, és a böngészők és szerverek közötti interakciók. A potenciálisan rosszindulatú e-mailek kezelésekor körültekintéssel kell eljárnia. Egyszerűen blokkoljon bármit, ami nem tűnik valódinak, vagy még a legkisebb árnyékot is érzi magát.  

Csak egy kis óvatossággal védelmet nyújthat mindenféle ransomware-től – akár normál, akár fájl nélkül.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me