Wieloplatformowe oprogramowanie ransomware: obecna sytuacja, rodziny i mechanizmy obronne

Informatec Digital » Zasoby » Wieloplatformowe oprogramowanie ransomware: obecna sytuacja, rodziny i mechanizmy obronne

El Wieloplatformowe oprogramowanie ransomware stało się jednym z największych problemów To poważniejsze zagrożenia dla firm, instytucji publicznych i wszelkiego rodzaju organizacji. Nie mówimy już tylko o wirusach atakujących komputery z systemem Windows, ale o rodzinach potrafiących szyfrować dane na serwerach Linux, hiperwizorach ESXi, maszynach wirtualnych, a coraz częściej nawet wykorzystujących sztuczną inteligencję do automatyzacji ataków.

W ostatnich latach widzieliśmy fale nowych rodzin ransomware napisanych w Rust, Golang lub C++Doprowadziło to do gwałtownego wzrostu liczby modeli ransomware-as-a-Service (RaaS) oraz wysoce ukierunkowanych kampanii przeciwko infrastrukturze krytycznej i sieciom korporacyjnym. Jednocześnie zespoły reagowania na incydenty i laboratoria cyberbezpieczeństwa badały wewnętrzne mechanizmy tych ataków, wykrywały wady projektowe, publikowały narzędzia deszyfrujące i dokumentowały coraz bardziej złożone taktyki, techniki i procedury (TTP).

Czym jest wieloplatformowy ransomware i dlaczego jego popularność tak wzrosła?

Kiedy mówimy o Terminem ransomware multiplatformowy określa się złośliwe oprogramowanie, które może działać na więcej niż jednym systemie operacyjnym.Zazwyczaj Windows i Linux, a często również w środowiskach wirtualizacji, takich jak VMware ESXi. Kluczem do tego skoku jest wykorzystanie nowoczesnych języków programowania, takich jak Rust, Golang lub, w mniejszym stopniu, C/C++, z kompilacjami specyficznymi dla danej architektury.

Cel jest jasny: maksymalizacja wpływu w ramach jednej sieci korporacyjnejJeśli atakujący uzyskają dostęp do środowiska, będą chcieli móc szyfrować zarówno komputery użytkowników, jak i serwery, kontrolery domeny i urządzenia NAS (patrz Ochrona NAS), maszyny wirtualne i wszelkie zasoby przechowujące cenne informacje. To znacznie zwiększa siłę negocjacyjną okupu.

Języki takie jak Rust i Golang są niezależne od platformy Umożliwiają one stosunkowo prostą kompilację plików binarnych dla różnych systemów i architektur (x86, x86_64, ARM itd.). Zostało to wykorzystane przez grupy takie jak BlackCat, Hive, Luna, Akira, PromptLock i inne, które nie zadowalają się atakowaniem tylko jednego typu systemu.

Co więcej, wiele grup cyberprzestępców przyjęło model Oprogramowanie ransomware jako usługa (RaaS)W tym modelu twórcy złośliwego oprogramowania wynajmują swoją platformę partnerom. Partnerzy odpowiadają za włamanie się do sieci i wdrożenie ransomware w zamian za uiszczenie okupu. Takie podejście promuje modułowy, łatwy do przenoszenia kod, który może bezproblemowo funkcjonować w wielu środowiskach.

01flip: wieloplatformowy ransomware Rust skupiający się na systemach Windows i Linux

Jedną z ostatnich rodzin, która jest przykładem tego trendu, jest 01flip, ransomware napisany w całości w języku Rust który zaobserwowano atakujący systemy Windows i Linux w sieciach w regionie Azji i Pacyfiku, dlatego Administracja systemem Linux Ma to kluczowe znaczenie dla samoobrony. Śledczy powiązali to z aktywnością oznaczoną kodem CL-CRI-1036, związaną z cyberprzestępczością o charakterze finansowym.

Pojawiły się pierwsze znaki na początku czerwca 2025 r., kiedy przeanalizowano podejrzany plik wykonywalny dla systemu Windows który wykazywał typowe zachowanie ransomware w odizolowanym środowisku. Plik binarny nie był ani spakowany, ani mocno zaciemniony, co ułatwiło potwierdzenie, że jest to autentyczny kod Rust. Nazwa 01flip pochodzi od rozszerzenia dodawanego do zaszyfrowanych plików (.01flip) oraz adresu kontaktowego w nocie z żądaniem okupu (01Flip@protonme).

Następnie, dzięki analizie próbek na platformach udostępniających złośliwe oprogramowanie, zidentyfikowano wersja 01flip dla systemu Linux, która nie została wykryta przez co najmniej trzy miesiąceDzięki wykorzystaniu języka Rust i kompilacji krzyżowej atakujący mogli zachować praktycznie identyczną logikę wewnętrzną obu wariantów, zmieniając jedynie zależności specyficzne dla danej platformy.

Narzędzia takie jak rustbininfo wykazało, że wersja Rust, skrót zatwierdzenia i większość bibliotek (skrzyń) były zgodne. między plikami binarnymi systemów Windows i Linux. Oznacza to, że grupa ponownie wykorzystuje ten sam kod źródłowy i kompiluje go na różnych systemach z minimalnymi zmianami, co jest jedną z największych zalet tego wieloplatformowego podejścia.

Jeśli chodzi o rzeczywisty wpływ, jak dotąd Zaobserwowano niewielką liczbę ofiarChoć niektóre z nich zarządzają krytyczną infrastrukturą społeczną w Azji Południowo-Wschodniej, istnieją dowody na naruszenia danych na forach dark webu związane z CL-CRI-1036, choć całkowita liczba dotkniętych nimi organizacji pozostaje nieznana.

01 łańcuch ataku typu flip: początkowy dostęp, ruch boczny i rozmieszczenie

Analiza kryminalistyczna sieci zagrożonych 01flip ujawnia raczej manualne i zorientowane na cel podejścieW jednym udokumentowanym przypadku atakujący rozpoczęli sondowanie obwodu na początku kwietnia 2025 r., próbując wykorzystać stare luki w zabezpieczeniach, takie jak CVE-2019-11580 w aplikacjach narażonych na działanie Internetu.

Chociaż nie udało się dokładnie określić, który wektor wejściowy okazał się skuteczny, istnieją silne dowody na to, że Napastnicy użyli SilveraZnana, oparta na otwartym kodzie źródłowym emulacja ataku i framework C2, napisane w języku Go i na wielu platformach, zostały wdrożone na komputerze ofiary z systemem Linux. Miesiąc po pierwszej próbie ataku wykryto sygnalizator Silver działający z profilem TCP pivot.

Dzięki temu skonsolidowanemu dostępowi do końca maja 2025 r. grupa stojąca za CL-CRI-1036 Następnie rozszerzono go na inne maszyny z systemem Linux.Pobrali nowe implanty Silver, aby rozszerzyć swoją obecność w sieci. Wdrożenie ransomware 01flip nastąpiło później, gdy atakujący byli już zaznajomieni ze środowiskiem i dysponowali wystarczającymi uprawnieniami administracyjnymi.

W końcowej fazie incydentu, Wykryto wiele wystąpień 01flip działających niemal jednocześnie na systemach Windows i Linux. Z tej samej organizacji. Chociaż dokładna metoda wewnętrznej propagacji nie jest jasna, można zasadnie założyć, że wykorzystali oni funkcjonalności Silvera i dodatkowe moduły do:

• Wykonaj interaktywne rozpoznawanie systemów i usług.
• Pobierz dane uwierzytelniające i zwiększyć uprawnienia w obrębie domeny.
• Wykonuj ruchy boczne w kierunku innych kluczowych segmentów i serwerów.

Napastnicy żądali w swoich komunikatach płatności do 1 bitcoina (BTC) za odszyfrowanie Wykorzystywali szyfrowane kanały (bezpieczną pocztę e-mail i prywatne wiadomości) do negocjacji z ofiarami. Przynajmniej w tej kampanii nie zaobserwowano żadnego publicznego portalu do podwójnego wymuszenia, podobnego do tych używanych przez duże grupy RaaS, chociaż bezpośrednio po infekcji na forum w darknecie znaleziono post o rzekomej sprzedaży danych.

Wewnętrzne działanie 01flip: szyfrowanie, unikanie i usuwanie śladów

Logika 01flip jest stosunkowo prosta, chociaż Zawiera kilka interesujących szczegółów technicznychPo uruchomieniu w zainfekowanym systemie ransomware wykonuje następujące główne czynności:

1. Wyświetl wszystkie dostępne jednostki (w systemie Windows od A: do Z:; w systemie Linux, zamontowane systemy plików), aby zlokalizować maksymalną liczbę zapisywalnych katalogów.
2. Utwórz notatkę z żądaniem okupu o nazwie RECOVER-YOUR-FILE.TXT w każdym folderze, do którego ma uprawnienia do zapisu. Zawiera on dane kontaktowe i blok zaszyfrowanych informacji używanych podczas negocjacji.
3. Zmień nazwę plików docelowych podążając za wzorem . .<0 lub 1>.01flip, dzięki czemu można zidentyfikować każdą ofiarę i rozróżnić pewne parametry szyfrowania.
4. Zaszyfruj zawartość plików za pomocą algorytmu AES-128-CBC korzystając z symetrycznego klucza sesji wygenerowanego dla każdego systemu.
5. Zaszyfruj ten klucz sesji za pomocą osadzonego klucza publicznego RSA-2048 w pliku binarnym i uwzględnia go w nocie z żądaniem okupu, tak aby tylko osoba dysponująca prywatnym kluczem RSA mogła wygenerować deszyfrator.
6. Eliminuje się na końcu wykonania aby skomplikować analizę kryminalistyczną.

Pod względem unikania 01flip charakteryzuje się: W miarę możliwości korzystaj z natywnych interfejsów API i wywołań niskiego poziomuW systemie Windows korzysta z funkcji jądra zamiast interfejsów API wysokiego poziomu, które są zazwyczaj ściślej monitorowane przez rozwiązania bezpieczeństwa. W systemie Linux korzysta z podobnych bezpośrednich wywołań systemowych. Ta strategia nie jest niezawodna, ale pomaga ukryć aktywność w legalnym szumie systemu operacyjnego.

Kolejna warstwa zaciemniania opiera się na szyfrowanie wrażliwych ciągów znaków w pliku binarnymWiadomość z żądaniem okupu, nazwa pliku, lista rozszerzeń do przetworzenia oraz sam klucz publiczny RSA są przechowywane w postaci zaszyfrowanej. W czasie wykonywania są one odszyfrowywane poprzez zastosowanie prostej operacji odejmowania (SUB) na parach bajtów. W zależności od rozmiaru każdego ciągu znaków, jest on umieszczany w sekcji .text lub .data pliku wykonywalnego.

Paradoksalnie, 01flip zawiera również Mała technika anty-sandboxowa: sprawdź, czy nazwa pliku wykonywalnego zawiera ciąg 01flipJeśli go wykryje, po prostu usuwa się bez inicjowania szyfrowania. To nieco komplikuje automatyczną analizę, gdy systemy laboratoryjne zmieniają nazwy próbek, ale wciąż jest to dość podstawowa sztuczka.

Moduł usuwania śladów jest bardziej zaawansowany. Po zakończeniu fazy szyfrowania ransomware... Próbuje nadpisać swój plik binarny losowymi danymi, a następnie go usunąć. z dysku, zarówno w systemie Windows, jak i Linux. W praktyce używa poleceń specyficznych dla danej platformy:

• W systemie Windows: połącz ping w celu wprowadzenia pauzy, fsutil w celu wyzerowania kilku megabajtów pliku, a następnie wymuszone usunięcie (Z /f /q).
• W systemie Linux: używa dd z /dev/urandom, aby wypełnić kilka megabajtów samego pliku wykonywalnego losowymi danymi a następnie uruchamia cichą komendę rm.

Polityka wykluczeń szyfrowania i możliwe powiązanie z LockBit

Podobnie jak w przypadku innych rodzin, 01flip zawiera listę rozszerzeń plików, których nigdy nie szyfrujeCelem tej listy wykluczeń jest uniknięcie sytuacji, w której system operacyjny stanie się bezużyteczny, a także zagwarantowanie, że usługi o kluczowym znaczeniu dla atakującego (takie jak narzędzia administracyjne czy pliki binarne systemu) będą nadal działać, dzięki czemu środowisko pozostanie stabilne, a ofiara będzie mogła się komunikować i płacić.

Wśród wykluczonych rozszerzeń znajdziemy duża liczba plików wykonywalnych i typów systemowych: exe, dll, sys, bat, cmd, com, msi, msu, ocx, so, o, bin, rom, winmd, sterowniki (drv), czcionki (ttf, woff, otf, fnt, fon), zasoby wizualne (ico, icns, cur, ani), pliki tymczasowe i pamięci podręcznej (tmp, sfcache), łącza (lnk), pliki blokady (lock) lub pakiety instalacyjne (deb, dmg, apk, app, cab, iso) i wiele innych.

Szczególnie godne uwagi jest wyłączenie rozszerzenia. blokada bitowa, która normalnie nie jest używana legalnieFakt, że 01flip ignoruje wszystkie pliki kończące się rozszerzeniem .lockbit, sprawił, że analitycy zaczęli spekulować na temat możliwego nakładania się lub powiązania z grupą stojącą za niesławnym ransomware LockBit, który niektórzy dostawcy śledzą pod nazwą Flighty Scorpius.

Jednakże, Poza tym ciekawym zbiegiem okoliczności w kodzie nie odkryto żadnych TTP, infrastruktury ani wzorców handlowych. które wyraźnie wskazują na bezpośredni związek między CL-CRI-1036 a LockBitem. Może to być celowe nawiązanie, sposób na uniknięcie konfliktów między operacjami lub po prostu kopia fragmentów kodu pobrana z publicznych próbek.

Tak czy inaczej, Lista wykluczeń jest istotną częścią konstrukcji oprogramowania ransomware.Dzięki temu system może się nadal uruchamiać i nie dochodzi do uszkodzenia elementów niezbędnych ofierze do uzyskania dostępu do komunikatu o okupie, interakcji ze środowiskiem i dokonania płatności, jeśli podejmie taką decyzję.

Środowiska ESXi, Rust, Go i wzrost liczby ataków ransomware na wielu platformach

Laboratoria różnych firm ochroniarskich zaobserwowały Stały wzrost liczby rodzin oprogramowania ransomware, które bezpośrednio atakują hiperwizory ESXi Oprócz systemów Windows i Linux. Ponieważ znaczna część infrastruktury korporacyjnej została zwirtualizowana, włamanie się na serwer ESXi umożliwia jednoczesne szyfrowanie dziesiątek, a nawet setek maszyn wirtualnych.

Grupa Na przykład Luna wykorzystuje ransomware napisane w języku Rust z możliwością jednoczesnego atakowania systemów Windows, Linux i ESXi. Analiza firmy Kaspersky wykryła reklamy Luna na forach dark webu, w których podawano, że firma współpracuje wyłącznie z rosyjskojęzycznymi partnerami. Ten szczegół, wraz z pewnymi błędami ortograficznymi w komunikacie o okupie zawartym w pliku binarnym, sugeruje rosyjskie pochodzenie.

Innym godnym uwagi przypadkiem jest Black Basta, rodzina ransomware napisana w języku C++, która zdołała zainfekować ponad 40 organizacji Od czasu pojawienia się w 2022 r., głównie w Stanach Zjednoczonych, Europie i Azji, zarówno Black Basta, jak i Luna mają specjalne warianty dla ESXi, co wzmacnia trend traktowania warstwy wirtualizacji jako pojedynczego punktu awarii.

Równolegle, Grupy takie jak BlackCat i Hive również zdecydowały się na Rust i GoW szczególności Hive łączy oba języki w swoim ekosystemie narzędzi i stał się klasycznym przykładem wieloplatformowego ransomware zorientowanego na model RaaS, z panelami partnerskimi, zarządzaniem ofiarami i niezwykle dopracowanymi strategiami podwójnego wymuszenia.

Podstawowe przesłanie badaczy jest jasne: Wybór języków takich jak Rust i Go zmniejsza nakład pracy wymagany do przenoszenia oprogramowania ransomware na różne platformyUłatwia ona omijanie tradycyjnych statycznych sygnatur i utrudnia analizę odwrotną w laboratoriach ze względu na szczególną strukturę plików binarnych i optymalizację kompilacji.

VolkLocker (CyberVolk 2.x): RaaS, automatyzacja z Telegramem i krytyczna awaria

Innym niedawnym przykładem ransomware międzyplatformowego jest VolkLocker, kojarzony z odrodzeniem się prorosyjskiej grupy hakerów-aktywistów CyberVolkTa nowa operacja, znana jako CyberVolk 2.x, przyjmuje podejście „Ransomware-as-a-Service”, otwierając drzwi podmiotom stowarzyszonym, które mają niewielką wiedzę techniczną, ale chcą zarabiać na dostępie do zainfekowanych sieci.

VolkLocker jest zaprojektowany do wpływając na krytyczną infrastrukturę w środowiskach Windows, Linux i ESXiIntegracja zautomatyzowanych możliwości wykonywania poleceń, eskalacji uprawnień, a nawet aktywowania funkcji destrukcyjnych za pomocą timerów. Jednym z jego unikalnych elementów jest wykorzystanie Telegram jako kanał dowodzenia i kontroli, wykorzystując boty i interfejsy API do przesyłania wiadomości w celu odbierania poleceń, wysyłania wyników poleceń i koordynowania operacji pomiędzy różnymi zaangażowanymi systemami.

Na poziomie technicznym obejmuje Mechanizmy omijające UAC (Kontrolę konta użytkownika) w systemie Windows w celu podniesienia uprawnieńPonadto zawiera moduły zaprogramowane do usuwania lub uszkadzania danych po spełnieniu określonych warunków czasowych lub w przypadku próby ingerencji ofiary w proces szyfrowania. Wszystko to wpisuje się w dość profesjonalne podejście RaaS.

Jednakże analizy bezpieczeństwa ujawniły bardzo poważna wada konstrukcyjna: główne klucze szyfrujące są statycznie zakodowane w plikach binarnych i przechowywane w postaci zwykłego tekstu. Oznacza to, że po wyodrębnieniu i przeanalizowaniu pliku binarnego możliwe jest odtworzenie kluczy bez płacenia okupu, co pozwala na opracowanie narzędzi deszyfrujących dla ofiar.

Ten typ błędu przypomina wczesne wersje innych programów ransomware, w których kryptografia została wdrożona błędniePozwala to badaczom na publikowanie bezpłatnych narzędzi deszyfrujących. Jednak często zdarza się, że grupy wyciągają wnioski z tych błędów i później publikują poprawione wersje, dlatego kluczowe jest, aby wykorzystać tę szansę, póki istnieje.

PromptLock: pierwszy ransomware oparty na sztucznej inteligencji

W dziedzinie innowacji firma ESET opisała PromptLock można uznać za pierwszy ransomware oparty na sztucznej inteligencji.O ile nam wiadomo, jest to dowód koncepcji lub praca w toku, której jeszcze nie zaobserwowano w rzeczywistych atakach, niemniej jednak ilustruje ona, w jakim kierunku te zagrożenia mogą się rozwijać.

PromptLock jest napisany w Golang i ma warianty dla systemów Windows i LinuxWykorzystując raz jeszcze wieloplatformową naturę tego języka, najbardziej uderzającym aspektem jest lokalna integracja modelu gpt-oss-20b OpenAI za pośrednictwem interfejsu API Ollama, wykorzystująca sztuczną inteligencję do generowania w locie złośliwych skryptów Lua.

te Skrypty Lua są tworzone na podstawie monitów zakodowanych w samym złośliwym oprogramowaniu. Służą do wykonywania wielu zadań: enumeracji systemu plików, identyfikacji interesujących plików, eksfiltracji określonych danych i wreszcie szyfrowania. Sztuczna inteligencja działa jak silnik, który dostosowuje logikę ataku do kontekstu, otwierając drogę do znacznie bardziej dynamicznych zachowań.

Odkrycie PromptLock podkreśla, że Narzędzia sztucznej inteligencji, powszechnie dostępne i powszechnie dostępne, mogą zostać wykorzystane w złośliwych celach.automatyzacja krytycznych faz ataku ransomware (rozpoznanie, analiza plików, wybór celu itp.) z prędkością i na skalę, które wcześniej wymagały znacznego wysiłku ręcznego.

Dla drużyn defensywnych oznacza to, że Skala, złożoność i zdolność adaptacji ataków mogą wzrosnąćZwłaszcza jeśli przyszłe rodziny ransomware połączą sztuczną inteligencję, możliwości wieloplatformowe i modele biznesowe RaaS (RaaS). ESET przewiduje, że ransomware będzie się nadal rozwijać wraz ze sztuczną inteligencją i zaleca zwrócenie szczególnej uwagi na nadchodzące trendy, które zostaną udokumentowane w konkretnych raportach i dokumentach dotyczących ofensywnego wykorzystania sztucznej inteligencji.

Więcej zagrożeń międzyplatformowych: FakeSG, Akira i złodziej AMOS dla systemu macOS

Zespół GReAT firmy Kaspersky udokumentował również Inne kampanie i rodziny, które pasują do tego wieloplatformowego krajobrazu oprogramowania przestępczegogdzie ransomware dzieli uwagę ze złodziejami danych uwierzytelniających i zaawansowanymi systemami dystrybucji.

Jednym z rosnących zagrożeń jest FakeSG, kampania, w której dochodzi do włamań na legalne strony internetowe wyświetlać fałszywe powiadomienia o aktualizacjach przeglądarki. Kliknięcie w nie powoduje pobranie złośliwego pliku, który uruchamia ukryte skrypty, ustanawia dostęp do poleceń i kontroli (C2) i umożliwia atakującym przejęcie kontroli nad systemem lub wdrożenie innych rodzajów złośliwego oprogramowania, w tym ransomware.

W dziedzinie ścisłego szyfrowania, Akira stała się odmianą ransomware atakującą zarówno systemy Windows, jak i Linux.W krótkim czasie dotknął on ponad sześćdziesiąt organizacji z różnych sektorów (handel detaliczny, edukacja, dobra konsumpcyjne itp.). Ma on cechy wspólne ze znanym systemem Conti, takie jak praktycznie identyczna lista wykluczeń folderów i charakterystyczny panel C2, z klasycznym, a jednocześnie solidnym interfejsem odpornym na próby analizy.

Równocześnie zaobserwowano znaczący wzrost ekosystem złodziei atakujących system macOSmacOS, tradycyjnie mniej ukierunkowany niż Windows. Złodziej AMOS (Atomic macOS Stealer) pojawił się po raz pierwszy w kwietniu 2023 roku i był oferowany za około 1.000 dolarów miesięcznie za pośrednictwem kanałów Telegram.

Z biegiem czasu AMOS Początkowo pisano go w języku Go, a następnie przepisywano go w języku CWykorzystując coraz bardziej agresywne metody dystrybucji, takie jak złośliwe kampanie reklamowe (malvertising) na stronach imitujących oficjalne strony oprogramowania, ten typ stealera po zainstalowaniu kradnie dane uwierzytelniające użytkownika, poufne dane i inne poufne informacje, identyfikując każdą infekcję za pomocą unikalnego identyfikatora UUID. To pokazuje, że podejście wieloplatformowe nie ogranicza się już wyłącznie do oprogramowania ransomware, ale obejmuje cały arsenał cyberprzestępców.

Historia, ewolucja i modele wymuszeń ransomware

Aby zrozumieć obecną sytuację, warto pamiętać, że Oprogramowanie ransomware nie jest nowym zjawiskiemPierwszym szeroko udokumentowanym przypadkiem był trojan rozprzestrzeniający AIDS, zwany też PC Cyborg, z 1989 r. Szyfrował on nazwy plików na dysku C: komputera i żądał wpłaty 189 dolarów na skrzynkę pocztową w Panamie w zamian za rzekome narzędzie do odblokowywania.

Te początkowe ataki Proste wymuszenia ewoluowały w podwójne, potrójne, a nawet poczwórne modele wymuszeń.W kampaniach takich jak Maze (2019) przestępcy nie tylko szyfrowali dane, ale także grozili ich publikacją w przypadku braku płatności. W 2021 roku Avaddon dodał możliwość przeprowadzania ataków typu rozproszona odmowa usługi (DDoS) na ofiary, które stawiały opór. Ta poczwórna taktyka wymuszenia obejmuje wywieranie presji na klientów i partnerów atakowanej organizacji, co potęguje szkody wizerunkowe.

Oprogramowanie ransomware przekształciło się w dobrze zorganizowany rynek w ekosystemie przestępczymModele takie jak RaaS pozwalają podmiotom o niskim poziomie wiedzy technicznej na uruchamianie kampanii z wykorzystaniem kompletnych platform, które obejmują złośliwe oprogramowanie, panele administracyjne, infrastrukturę płatniczą i wsparcie dla partnerów. Hive jest doskonałym przykładem tego wieloplatformowego, zorientowanego na usługi podejścia.

Niektóre grupy posunęły się nawet tak daleko, że Wdrażanie wewnętrznych programów nagród za błędyPłacą tym, którzy odkrywają i zgłaszają luki w ich kodzie, aby poprawić bezpieczeństwo swoich operacji, jak widać na przykładzie Lockbit. Ta ironia doskonale oddaje poziom ich profesjonalizmu: atakując bezpieczeństwo firm i użytkowników, jednocześnie starają się chronić swój własny „produkt”.

Wzrost liczby ataków ransomware można częściowo wyjaśnić łatwość rozprzestrzeniania się i różnorodność dostępnych wektorów infekcjiPhishing, wykorzystywanie luk w zabezpieczeniach, złośliwe pobieranie plików, makra w dokumentach, ataki na narażone RDP itd. Dodatkowo obecność rynków w darknecie i usług pomocniczych (wynajem botnetów, sprzedaż dostępu, pranie kryptowalut) uzupełnia bardzo dojrzały łańcuch wartości przestępczych.

Typowe metody infekcji, techniki unikania i metody szyfrowania

Na przestrzeni lat pojawiły się różne rodziny oprogramowania ransomware udoskonalono i połączono wiele metod wprowadzania danychWiele kampanii nadal opiera się na rozsyłaniu wiadomości e-mail typu phishing, jak w przypadku TeslaCrypt, CERBER, Nemucod, LECHIFFRE, MirCop czy Stampado, gdzie do wykonania początkowego zadania stosowano oszukańcze załączniki lub linki.

Inne grupy polegały na zestawy narzędzi, które naruszają bezpieczeństwo legalnych witryn internetowych, takich jak CryptXXX, SNSLocker, XORIST czy DXXD, dzięki czemu samo odwiedzenie podatnej strony wystarczy, aby wywołać próbę wykorzystania ciągu luk w przeglądarce lub przestarzałych wtyczkach.

Również powszechne są pobieranie i aktualizacje złośliwego oprogramowaniaJak widać w przypadku BadBlock, 777, DemoTool, Crysis i TeleCrypt, pozornie legalne instalatory ukrywały ransomware. Jednocześnie rodziny takie jak AutoLocky i XORBAT nadużywały makr w dokumentach biurowych, nakłaniając użytkowników do włączenia aktywnej zawartości, która uruchamiała złośliwy kod.

Niektóre z najbardziej znanych przypadków, takie jak WannaCry, Petya, Chimera, Jigsaw, Globe/Purge czy Teamxrat/Xpan, Charakteryzowały się one wykorzystaniem luk w zabezpieczeniach sieci i rozprzestrzeniają się autonomicznie w obrębie organizacji, atakując serwery, stacje robocze i zasoby współdzielone praktycznie bez jakiejkolwiek ingerencji człowieka.

Przed zaszyfrowaniem wiele z tych złośliwych programów Wyłączają usługi i procesy związane z bezpieczeństwemUsuwają kopie w tle i punkty przywracania oraz modyfikują ustawienia systemu, aby zapewnić trwałość i utrudnić odzyskiwanie. Po ataku zazwyczaj usuwają ślady i logi, aby utrudnić analizę kryminalistyczną.

Jeśli chodzi o szyfrowanie, rodziny takie jak WannaCry i Petya wykorzystują niezawodne algorytmy, takie jak AES i RSASystemy te są implementowane w taki sposób, że teoretycznie nie da się odwrócić procesu bez odpowiedniego klucza. Inne, takie jak XORIST, XORBAT czy Stampado, zdecydowały się na własne algorytmy lub adaptacje, które w niektórych przypadkach okazały się podatne na analizę kryptograficzną.

Narzędzia do dezynfekcji i deszyfrowania: przypadek Trend Micro

W obliczu wzrostu liczby ataków ekosystem cyberbezpieczeństwa zaczął publikować narzędzia do deszyfrowania dla rosnącej liczby rodzinUmożliwiając ofiarom odzyskanie danych bez płacenia. Znaczącym przykładem jest Trend Micro Ransomware File Decryptor, który obsługuje takie warianty jak CryptXXX, TeslaCrypt, SNSLocker, AutoLocky, BadBlock, 777, XORIST, XORBAT, CERBER, Stampado, Nemucod, Chimera, LECHIFFRE, MirCop, Jigsaw, Globe/Purge, DXXD, Teamxrat/Xpan, Crysis, TeleCrypt, DemoTool, WannaCry i Petya.

Jego zastosowanie polega na: Pobierz narzędzie, rozpakuj je i uruchom plik RansomwareFileDecryptor.exe.Po zaakceptowaniu umowy licencyjnej interfejs umożliwia wybór rodziny ransomware, określenie lokalizacji zaszyfrowanych plików i rozpoczęcie procesu odszyfrowywania lub zapoznanie się z przewodnikami odzyskiwanie plików z dysku twardego.

W niektórych wariantach (np. CyptXXX V1, XORIST, XORBAT, NEMUCOD lub TeleCrypt) narzędzie Żąda kilku plików: jednego zaszyfrowanego i jednej czystej kopii. Aby wywnioskować klucz lub metodę odzyskiwania. Zaleca się, aby pliki te były jak największe, aby ułatwić analizę.

Proces ten ma jednak pewne ograniczenia. CryptXXX V3 pozwala tylko na częściowe odszyfrowanie i może wymagać dodatkowych narzędzi dla niektórych typów plików. BadBlock może szyfrować krytyczne komponenty systemu, komplikując rozruch. CERBER wymaga przeprowadzenia deszyfrowania na zainfekowanej maszynie, a czas jego trwania zależy od mocy procesora. Globe/Purge używa metody brute force i może trwać bardzo długo, a dodatkowo powoduje problemy z woluminami FAT32.

W przypadku Odszyfrowanie WannaCry opiera się na znalezieniu klucza prywatnego w pamięci aktywnego procesuW związku z tym działa tylko wtedy, gdy ransomware jest nadal aktywny i jest szczególnie skuteczny w systemach Windows XP. Petya natomiast wymaga wykonania określonych kroków w celu przywrócenia systemu operacyjnego po odzyskaniu klucza szyfrującego ze zmodyfikowanego rekordu MBR.

Nawet przy tych ograniczeniach, Istnienie narzędzi deszyfrujących znacznie zmniejsza motywację ekonomiczną dla atakujących.Za każdym razem, gdy pojawia się skuteczny deszyfrator, odsetek ofiar gotowych zapłacić spada, co wywiera presję na model biznesowy przestępców. Jednak grupy zazwyczaj reagują szybko, usuwając luki w zabezpieczeniach i publikując nowe, bardziej odporne warianty.

Zalecenia dotyczące ochrony przed wieloplatformowym oprogramowaniem ransomware

Biorąc pod uwagę ten scenariusz, eksperci zgadzają się, że Zapobieganie i wczesne wykrywanie są absolutnie kluczoweOto niektóre środki zalecane przez firmy Kaspersky, ESET i innych dostawców zabezpieczeń:

• Nie udostępniaj usług pulpitu zdalnego (RDP) ani innych uprawnień administracyjnych bezpośrednio do Internetu, chyba że jest to absolutnie konieczne, i zawsze chronione silnymi hasłami, uwierzytelnianiem wieloskładnikowym oraz, jeśli to możliwe, VPN-em.
• Skoncentruj strategię obronną na wykrywaniu ruchów bocznych i wycieku danych, uważnie monitorując ruch wychodzący i nietypowe połączenia z serwerami zewnętrznymi.
• Wdrażanie rozwiązań EDR/XDR i zarządzanych usług wykrywania (takich jak Kaspersky EDR Expert, Managed Detection and Response lub Cortex XDR/XSIAM), które łączą analizę behawioralną, uczenie maszynowe i korelację zdarzeń w celu identyfikowania podejrzanej aktywności na wczesnym etapie.
• Szkolenie i podnoszenie świadomości pracowników poprzez specjalne programy szkoleniowe, zmniejszając tym samym prawdopodobieństwo, że padną ofiarą wiadomości phishingowych lub zainstalują złośliwe oprogramowanie.
• Bądź na bieżąco z informacjami o zagrożeniachkorzystając ze specjalistycznych portali, które agregują informacje o aktywnych kampaniach, wskaźnikach zagrożenia i rzeczywistych strategiach TTP stosowanych przez atakujących.
• Proaktywne zarządzanie powierzchnią ataku, identyfikując podatne usługi wystawione na działanie Internetu (takie jak Atlassian Crowd Server podlegający luce CVE-2019-11580) za pomocą narzędzi do zarządzania powierzchnią ataku, takich jak Cortex Xpanse.

Dla tych, którzy podejrzewają, że mogli paść ofiarą poważnego incydentu, usługi reagowania na incydenty z wyspecjalizowanych jednostek, takich jak Jednostka 42 Oferują pilne wsparcie za pośrednictwem dedykowanych linii telefonicznych w Ameryce Północnej, Europie, regionie Azji i Pacyfiku, Japonii, Australii, Indiach i Korei Południowej. Ponadto inicjatywy takie jak Cyber ​​Threat Alliance ułatwiają wymianę informacji technicznych między firmami ochroniarskimi, aby przyspieszyć rozwój zabezpieczeń i rozbijać siatki przestępcze.

Organizacje są również zachęcane do Zgłoś próbę oszustwa, cyberataków lub oznaki naruszenia bezpieczeństwa do krajowych zespołów CERT, właściwych organów ścigania oraz dostawców usług cyberbezpieczeństwa, z którymi współpracują. Im więcej informacji zostanie udostępnionych, tym łatwiej będzie identyfikować wzorce i powstrzymywać trwające kampanie.

Obecna panorama wyraźnie to pokazuje Wieloplatformowe oprogramowanie ransomware przeszło drogę od rzadkości technicznej do standardu wśród najbardziej aktywnych grupWspierają to języki takie jak Rust i Go, modele RaaS, eksploatacja środowisk ESXi, integracja sztucznej inteligencji (AI) oraz podwójne lub potrójne kampanie wymuszeń. W obliczu tego scenariusza połączenie prewencji, zaawansowanego monitoringu, skoordynowanej reakcji i publicznych inicjatyw deszyfrujących stało się niezbędne do kontynuowania działalności w coraz bardziej wrogim środowisku cyfrowym.