FIND Ransomware

Az eszközök rosszindulatú programok elleni védelme ma már inkább szükségszerűség, mint választás. A kiberbűnözők folyamatosan fejlesztik taktikáikat, egyre összetettebb zsarolóvírus-törzseket hozva létre, amelyek célja, hogy még a kisebb biztonsági réseket is kihasználják. A FIND zsarolóvírus, a hírhedt Dharma család nemrég felfedezett változata, jól példázza a modern zsarolóvírus-műveletek kifinomultságát és kitartását.

A FIND zsarolóvírus-támadás mögött

A FIND zsarolóvírus ugyanazzal a könyörtelen hatékonysággal működik, amely a Dharmát az egyik legaktívabb zsarolóvírus-családdá tette. Futáskor a rosszindulatú program titkosítani kezdi az áldozat fájljait, elérhetetlenné téve azokat. A folyamat során átnevezi az egyes fájlokat az áldozat egyedi azonosítójának, a támadó által ellenőrzött e-mail címnek és a '.FIND' kiterjesztésnek a hozzáadásával – például az '1.png' fájlt '1.png.id-9ECFA84E'-re nevezi át.[findourtxt@tuta.io
].FIND.’ A fenyegetés egy másik megfigyelt változata a „.FIND5” kiterjesztést használja.

A titkosítás után a zsarolóvírus két csatornán keresztül küldi el a követeléseit: egy felugró ablakban és egy „info.txt” nevű váltságdíjjegyzet-fájlban. A jegyzet tájékoztatja az áldozatokat arról, hogy fájljaik titkosítva vannak, és arra utasítja őket, hogy vegyék fel a kapcsolatot a támadókkal két e-mail cím – „findourtxt@tuta.io” vagy „findourtxt@mailum.com” – egyikén, a hozzájuk rendelt azonosítójuk használatával.

A váltságdíjat követelő levél azt is állítja, hogy az áldozat adatainak egy részét kiszivárogtatták, és figyelmeztet, hogy a felszólítás be nem tartása az ellopott információk eladásához vagy harmadik felekkel való megosztásához vezet. Azt is lebeszéli az áldozatokról, hogy átnevezzék a fájlokat, vagy megkíséreljék visszafejteni az adatokat harmadik féltől származó eszközökkel, azt állítva, hogy az ilyen lépések végleges adatvesztéshez vagy magasabb váltságdíjkövetelményekhez vezethetnek.

Hogyan működik a FIND zsarolóvírus?

A Dharma többi variánsához hasonlóan a FIND zsarolóvírus is egy többlépcsős fertőzési folyamatot követ, amelynek célja a maximális hatás és a fertőzés tartóssága. Miután aktívvá válik a rendszeren, a kártevő titkosítja a fájlokat mind a helyi, mind a hálózati meghajtókon, számos adattípust céloz meg, sőt, a könnyű helyreállítás megakadályozása érdekében a kötet árnyékmásolatait is törli.

Emellett a rendszerbeállításokat is manipulálja a Windows tűzfal letiltásával, a %LOCALAPPDATA% könyvtárba helyezett másolatokkal tartós védelmet biztosít, és bejegyzéseket ad hozzá a Run rendszerleíró kulcsokhoz. Ezenkívül egyes Dharma-alapú variánsok helyadatokat gyűjtenek, és bizonyos rendszermappákat vagy meghajtókat kizárhatnak a titkosításból, valószínűleg működési vagy stratégiai okokból.

Fertőző vektorok és terjesztési csatornák

A FIND zsarolóvírus, elődeihez hasonlóan, megtévesztő és alkalmi módszerek kombinációjával terjed. A kiberbűnözők adathalász kampányokat, rosszindulatú mellékleteket és e-mailekbe ágyazott csalárd linkeket alkalmaznak, hogy rávegyék a felhasználókat a fertőzés megkezdésére. Egyéb gyakori terjesztési módszerek a következők:

1. Automatikus letöltések feltört vagy rosszindulatú webhelyekről.
2. Telepítés kalózszoftvereken, hamis frissítéseken vagy feltört alkalmazásokon keresztül.
3. Javítatlan szoftveres sebezhetőségek és gyenge Remote Desktop Protocol (RDP) konfigurációk kihasználása.
4. Rosszindulatú hirdetések, P2P hálózatok és fertőzött cserélhető meghajtók (USB-k).

A telepítés után a FIND titkosítja a kritikus adatokat, és fizetést kér – gyakran kriptovalutában – a visszafejtési kulcs megadásáért – bár nincs garancia arra, hogy a fizetés sikeres visszaállításhoz vezet.

Legjobb biztonsági gyakorlatok a védelem megőrzéséhez

A FIND-hez hasonló zsarolóvírusok elleni védekezés többrétegű és proaktív megközelítést igényel. A felhasználók és a szervezetek jelentősen csökkenthetik a fertőzés kockázatát a következő alapvető gyakorlatok bevezetésével:

1. Az eszköz- és hálózati biztonság megerősítése :

• Rendszeresen frissítse az operációs rendszereket, böngészőket és szoftvereket az ismert sebezhetőségek javítása érdekében.
• Konfiguráljon tűzfalakat és víruskereső eszközöket a gyanús tevékenységek észlelésére és blokkolására.
• Tiltsa le az RDP-hozzáférést, ha nincs rá szükség, vagy korlátozza erős jelszavakkal, többtényezős hitelesítéssel és IP-címek engedélyezési listájával.

2. Gyakorold a biztonságos böngészést és az e-mailezési szokásaidat :

• Kerülje a kéretlen mellékletek megnyitását, illetve az ismeretlen feladóktól származó linkekre való kattintást.
• Csak megbízható forrásból tölts le szoftvereket, és kerüld a torrenteket vagy a feltört programokat.
• Legyen óvatos, amikor váratlan „sürgős” vagy „biztonsági riasztási” üzenetekre reagál.

3. Megbízható biztonsági mentések karbantartása :

• Készítsen offline vagy felhőalapú biztonsági másolatot a fontos adatokról.

• Használat után győződjön meg arról, hogy a biztonsági mentési eszközök le vannak választva, hogy megakadályozzák a titkosítást egy támadás során.

4. Oktatás és felkészülés :

• Képezze ki az összes felhasználót az adathalász kísérletek és a rosszindulatú viselkedés felismerésére.
• Készítsen egy incidensre adott választervet, amely világos lépéseket vázol fel a fertőzött rendszerek elkülönítésére és a működés helyreállítására.

Záró gondolatok

A FIND zsarolóvírusok a makacs és romboló Dharma család újabb evolúciós változatát képviselik. Az értékes adatok titkosításával, a biztonsági beállítások manipulálásával és a váltságdíjjegyzeteken keresztüli pszichológiai nyomásgyakorlással ez a rosszindulatú program komoly fenyegetést jelent mind az egyének, mind a szervezetek számára.

Az ilyen zsarolóvírus-fenyegetések elleni leghatékonyabb védekezés továbbra is a szigorú kiberbiztonsági higiénia fenntartása, a gyanús online tevékenységek elleni éberség és a rendszeres adatmentések készítése.