FIND Ransomware

Ochrana vašich zařízení před malwarem se stala spíše nutností než volbou. Kyberzločinci neustále vyvíjejí své taktiky a vytvářejí stále složitější kmeny ransomwaru, které jsou navrženy tak, aby zneužily i drobné bezpečnostní slabiny. FIND Ransomware, nedávno objevená varianta z nechvalně známé rodiny Dharma, je příkladem sofistikovanosti a vytrvalosti moderních ransomwarových operací.

Uvnitř útoku ransomwaru FIND

Ransomware FIND funguje se stejnou nemilosrdnou efektivitou, díky které se Dharma stala jednou z nejaktivnějších rodin ransomwaru. Po spuštění začne malware šifrovat soubory oběti, čímž je znepřístupní. Během procesu přejmenuje každý soubor připojením jedinečného ID oběti, e-mailové adresy ovládané útočníkem a přípony „.FIND“ – například přejmenuje „1.png“ na „1.png.id-9ECFA84E.[findourtxt@tuta.io“
].FIND.' Jiná pozorovaná varianta této hrozby používá příponu '.FIND5'.

Po zašifrování ransomware doručuje své požadavky dvěma kanály – vyskakovací zprávou a souborem s žádostí o výkupné s názvem „info.txt“. Zpráva informuje oběti, že jejich soubory byly zašifrovány, a dává jim pokyn, aby kontaktovaly útočníky prostřednictvím jedné ze dvou e-mailových adres – „findourtxt@tuta.io“ nebo „findourtxt@mailum.com“ – s použitím jejich přiřazeného ID.

V oznámení s výkupným se dále uvádí, že některá data oběti byla odcizena, a varuje, že v případě nedodržení pokynů budou odcizené informace prodány nebo sdíleny s třetími stranami. Také se obětem nedoporučuje přejmenovávat soubory nebo se pokoušet o dešifrování dat pomocí nástrojů třetích stran s tím, že takové akce by mohly vést k trvalé ztrátě dat nebo vyšším požadavkům na výkupné.

Jak funguje ransomware FIND

Stejně jako ostatní varianty Dharmy se i FIND Ransomware řídí několikastupňovým infekčním procesem, který je navržen tak, aby maximalizoval dopad a trvalost. Jakmile je malware aktivní v systému, šifruje soubory na lokálních i síťových discích, cílí na širokou škálu datových typů a dokonce maže stínové kopie svazků, aby zabránil snadné obnově.

Také manipuluje s nastavením systému deaktivací brány firewall systému Windows, nastavuje trvalost umístěním svých kopií do adresáře %LOCALAPPDATA% a přidáváním položek do klíčů registru Spustit. Některé varianty založené na Dharmě navíc shromažďují údaje o poloze a mohou z šifrování vyloučit konkrétní systémové složky nebo disky, pravděpodobně z provozních nebo strategických důvodů.

Přenašeče infekce a distribuční kanály

Ransomware FIND se stejně jako jeho předchůdci šíří kombinací podvodných a oportunistických metod. Kyberzločinci používají phishingové kampaně, škodlivé přílohy a podvodné odkazy vložené do e-mailů, aby uživatele oklamali a spustili infekci. Mezi další běžné metody distribuce patří:

1. Stahování dat z napadených nebo škodlivých webových stránek.
2. Instalace pomocí pirátského softwaru, falešných aktualizací nebo cracknutých aplikací.
3. Zneužívání neopravených softwarových zranitelností a slabých konfigurací protokolu RDP (Remote Desktop Protocol).
4. Škodlivé reklamy, P2P sítě a infikované vyměnitelné disky (USB).

Po instalaci FIND šifruje kritická data a požaduje platbu, často v kryptoměně, za poskytnutí dešifrovacího klíče – ačkoli neexistuje žádná záruka, že platba povede k úspěšné obnově.

Nejlepší bezpečnostní postupy pro zajištění ochrany

Ochrana před ransomwarem, jako je FIND, vyžaduje vícevrstvý a proaktivní přístup. Uživatelé a organizace mohou výrazně snížit riziko infekce implementací následujících základních postupů:

1. Posílení zabezpečení zařízení a sítě :

• Pravidelně aktualizujte operační systémy, prohlížeče a software, abyste opravili známé zranitelnosti.
• Nakonfigurujte firewally a antivirové nástroje pro detekci a blokování podezřelých aktivit.
• Pokud není přístup RDP potřeba, zakažte jej nebo jej omezte pomocí silných hesel, vícefaktorového ověřování a whitelistingu IP adres.

2. Dodržujte návyky bezpečného prohlížení a používání e-mailů :

• Vyhněte se otevírání nevyžádaných příloh nebo klikání na odkazy od neznámých odesílatelů.
• Stahujte software pouze z důvěryhodných zdrojů a vyhýbejte se torrentům nebo cracknutým programům.
• Při reakci na neočekávané „naléhavé“ zprávy nebo zprávy s „bezpečnostním upozorněním“ buďte opatrní.

3. Udržujte spolehlivé zálohy :

• Uchovávejte si offline nebo cloudové zálohy důležitých dat.

• Zajistěte, aby byla záložní zařízení po použití odpojena, aby se zabránilo šifrování během útoku.

4. Vzdělávejte a připravujte se :

• Proškolit všechny uživatele v rozpoznávání phishingových pokusů a škodlivého chování.
• Vypracujte plán reakce na incidenty, který jasně popisuje kroky pro izolaci infikovaných systémů a obnovení provozu.

Závěrečné myšlenky

FIND Ransomware představuje další vývoj v přetrvávající a destruktivní rodině Dharma. Šifrováním cenných dat, manipulací s nastavením zabezpečení a využíváním psychologického tlaku prostřednictvím výkupných zpráv představuje tento malware vážnou hrozbu pro jednotlivce i organizace.

Udržování silné kybernetické hygieny, ostražitost vůči podezřelým online aktivitám a pravidelné zálohování dat zůstávají nejúčinnější obranou proti takovým hrozbám ransomwaru.