BlackHeart (MedusaLocker) рансъмуер
Рансъмуерът все още е една от най-опустошителните киберзаплахи, способен да криптира ценни данни и да изисква солидни плащания за пускането му. Сред най-новите щамове рансъмуер, BlackHeart, вариант на фамилията MedusaLocker, се очертава като опасна заплаха. Този сложен ransomware не само заключва потребителите от техните файлове, но също така заплашва да разкрие откраднати данни, поставяйки жертвите под огромен натиск да се съобразят с изискванията на нападателите. Разбирането как работи BlackHeart и най-добрите практики за смекчаване на подобни атаки е от решаващо значение за защитата на личните и корпоративните данни.
Съдържание
Как BlackHeart Ransomware криптира и изнудва жертвите
След като бъде изпълнен на заразена система, рансъмуерът BlackHeart започва агресивен процес на криптиране, насочен към широк набор от типове файлове. Всеки шифрован файл се добавя с разширението „.blackheart138“, което го прави недостъпен. Например, файл с име „document.pdf“ ще стане „document.pdf.blackheart138“, което ефективно блокира потребителите от техните данни.
Наред с криптирането на файлове, BlackHeart пуска бележка за откуп, озаглавена „read_this_to_decrypt_files.html“. Съобщението информира жертвите, че тяхната корпоративна мрежа е била проникната и че основните файлове са били криптирани с помощта на RSA и AES криптиране. Той твърди, че само нападателите притежават необходимите инструменти за декриптиране и предупреждава жертвите да не променят или да се опитват да възстановят файловете с помощта на софтуер на трети страни, тъй като това може да доведе до трайна загуба на данни.
Двойната тактика за изнудване, използвана от BlackHeart
Притеснителна тенденция в съвременните атаки на ransomware е практиката на двойно изнудване и BlackHeart следва този модел. Бележката за откуп предупреждава, че чувствителните фирмени данни са били ексфилтрирани и ще бъдат продадени или публикувани онлайн, ако жертвата откаже да се съобрази с исканията. Този допълнителен слой на принуда увеличава натиска върху жертвите, тъй като те са изправени не само пред финансови загуби, но и потенциални щети за репутацията и правни последици, ако поверителни данни изтекат.
За да договорят плащането на откупа, нападателите предоставят данни за контакт, включително два имейл адреса (support1@contonta.com и support2@cavopo.com), както и връзка към базирана на Tor услуга за чат. Освен това те заявяват, че ако жертвите не установят контакт в рамките на 72 часа, сумата на откупа ще се увеличи. Тази тактика е предназначена да създаде спешност и паника, като подтиква жертвите да действат бързо, преди да успеят да оценят напълно ситуацията.
Защо плащането на откупа е рисковано
Докато перспективата за възстановяване на криптирани файлове може да изкуши жертвите да се съобразят с исканията за откуп, това е свързано със значителни рискове. Киберпрестъпниците нямат задължение да спазват обещанията си и много жертви са платили само за да получат дефектни или несъществуващи инструменти за дешифриране. Освен това изпращането на пари до оператори на ransomware финансира техните незаконни дейности, насърчавайки по-нататъшни атаки срещу физически лица и фирми.
Единственият надежден начин за възстановяване на изгубени данни, без да се ангажирате с нападатели, е чрез сигурни, вече съществуващи архиви. Въпреки това, ако архивите се съхраняват в същата мрежа като заразеното устройство, те също могат да бъдат криптирани или изтрити, което прави проактивните мерки за сигурност от съществено значение.
Как се разпространява рансъмуерът BlackHeart
Подобно на други варианти на рансъмуер, BlackHeart разчита на множество вектори на атака, за да проникне в устройства. Киберпрестъпниците често разпространяват рансъмуер чрез фишинг кампании, прикривайки злонамерени прикачени файлове или връзки като легитимни бизнес комуникации. Нищо неподозиращите потребители, които отварят заразени прикачени файлове към имейл или кликват върху компрометирани връзки, могат несъзнателно да изпълнят рансъмуера на своите системи.
Други стандартни методи за заразяване включват използване на непоправени софтуерни уязвимости, разпространение на ransomware чрез компрометирани уебсайтове и скриване на злонамерени полезни товари в софтуерни кракове или пиратски приложения. Някои нападатели също използват злонамерена реклама – измамни онлайн реклами, които при щракване водят до заразяване със зловреден софтуер. В корпоративни среди рансъмуерът може да се разпространи странично в мрежите, като заразява множество устройства и ескалира въздействието на атаката.
Най-добри практики за сигурност за защита срещу рансъмуер
За да намалят риска от BlackHeart Ransomware и подобни заплахи, потребителите и организациите трябва да приемат стабилни мерки за киберсигурност. Прилагането на следните най-добри практики може да помогне за укрепване на сигурността и минимизиране на вероятността да станете жертва на атака:
- Поддържайте редовни резервни копия : Съхранявайте критични данни на множество сигурни места, включително офлайн архивиране и облачно съхранение със силно криптиране. Уверете се, че резервните копия се актуализират редовно и се тестват за цялост.
- Активиране на многофакторно удостоверяване (MFA) : Тази функция защитава онлайн акаунтите и достъпа до системата, като изисква множество стъпки за проверка, което прави неоторизираните влизания по-трудни.
- Поддържайте надстройка на софтуера и операционните системи : Редовно актуализирайте всички приложения, операционни системи и софтуер за сигурност, за да коригирате уязвимостите, които нападателите на ransomware могат да използват.
- Бъдете внимателни с прикачени файлове към имейл и връзки : Избягвайте да отваряте неочаквани имейли, особено тези, които призовават към незабавни действия. Проверете самоличността на подателя и сканирайте прикачените файлове за потенциални заплахи, преди да ги изтеглите.
- Ограничаване на администраторските привилегии : Ограничете достъпа на потребителите до критични системи и деактивирайте ненужните администраторски права, за да намалите повърхността на атака в случай на компрометиране.
Последни мисли
BlackHeart Ransomware е пример за нарастващата сложност на съвременните кибер заплахи, комбинирайки криптиране на файлове с извличане на данни, за да увеличи максимално натиска върху жертвите. Плащането на откупа не е гарантирано възстановяване на данни и само подхранва допълнителна престъпна дейност. Вместо това потребителите трябва да дадат приоритет на превенцията, като осигурят системите си, поддържат надеждни резервни копия и останат бдителни срещу опити за фишинг и злонамерен софтуер. Енергичният подход към киберсигурността е най-ефективната защита срещу ransomware и други развиващи се цифрови заплахи.
BlackHeart (MedusaLocker) рансъмуер видео
Съвет: Вклучите звука игледайте видеото в режим на цял екран.
Съобщения
Открити са следните съобщения, свързани с BlackHeart (MedusaLocker) рансъмуер:
|
Your personal ID: - /!\ YOUR COMPANY NETWORK HAS BEEN PENETRATED /!\ All your important files have been encrypted! Your files are safe! Only modified. (RSA+AES) ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE WILL PERMANENTLY CORRUPT IT. DO NOT MODIFY ENCRYPTED FILES. DO NOT RENAME ENCRYPTED FILES. No software available on internet can help you. We are the only ones able to solve your problem. We gathered highly confidential/personal data. These data are currently stored on a private server. This server will be immediately destroyed after your payment. If you decide to not pay, we will release your data to public or re-seller. So you can expect your data to be publicly available in the near future.. We only seek money and our goal is not to damage your reputation or prevent your business from running. You will can send us 2-3 non-important files and we will decrypt it for free to prove we are able to give your files back. Contact us for price and get decryption software. email: support1@contonta.com support2@cavopo.com * To contact us, create a new free email account on the site: protonmail.com IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER. * Tor-chat to always be in touch: |
