BARADAI Ransomware

Mūsdienu izspiedējvīrusu operācijas turpina attīstīties sarežģītāk, padarot proaktīvas kiberdrošības prakses svarīgākas nekā jebkad agrāk. Gan organizācijas, gan individuālie lietotāji pastāvīgi saskaras ar riskiem no ļaunprātīgu personu puses, kas cenšas šifrēt sensitīvus datus, traucēt darbību un finansiāli izspiest upurus. Īpaši bīstams piemērs ir BARADAI izspiedējvīruss — ļaunprogrammatūras paveids, kas saistīts ar bēdīgi slaveno MedusaLocker izspiedējvīrusu saimi. Šis apdraudējums apvieno uzlabotu šifrēšanu ar datu zādzības taktiku, radot nopietnas operacionālas, finansiālas un reputācijas sekas skartajām organizācijām.

BARADAI izspiedējvīrusa operācijas iekšienē

BARADAI ir izstrādāts, lai iekļūtu sistēmās, šifrētu vērtīgus failus un piespiestu upurus maksāt izpirkuma maksu. Kad izspiedējvīruss ir palaists uz kompromitētas iekārtas, tas sāk šifrēt failus un pievienot paplašinājumu “.BARADAI” skarto failu nosaukumiem. Piemēram, fails ar nosaukumu “document.pdf” kļūst par “document.pdf.BARADAI”, padarot to nepieejamu lietotājiem bez atbilstošas atšifrēšanas atslēgas.

Pēc šifrēšanas procesa pabeigšanas ļaunprogramma ģenerē HTML izpirkuma pieprasījumu ar nosaukumu “read_to_decrypt_files.html”. Ziņojumā upuri tiek informēti, ka viņu korporatīvais tīkls it kā ir “apdraudēts un šifrēts”, izmantojot RSA-4096 un AES-256 kriptogrāfiskos algoritmus. Šie šifrēšanas standarti tiek uzskatīti par ļoti drošiem un praktiski neiespējami uzlauzt ar brutālas piespēles metodēm.

Izpirkuma pieprasījuma vēstulē upuri tiek arī brīdināti neizmantot trešo pušu atkopšanas programmatūru vai nemainot šifrētus failus, apgalvojot, ka šādas darbības varētu neatgriezeniski sabojāt datus. Lai gan šie brīdinājumi galvenokārt paredzēti, lai iebiedētu upurus, nepareizi atkopšanas mēģinājumi dažos izspiedējvīrusa incidentos patiešām var sarežģīt atjaunošanas centienus.

Divkārša izspiešanas taktika palielina spiedienu

BARADAI izmanto arvien izplatītāko “dubultās izspiešanas” stratēģiju, ko izmanto daudzas mūsdienu izspiedējvīrusu grupas. Papildus failu šifrēšanai uzbrucēji apgalvo, ka pirms izspiedējvīrusa vērtuma izvietošanas zog sensitīvu informāciju no apdraudētiem tīkliem. Saskaņā ar izpirkuma pieprasījuma paziņojumu, nozagtie dati var ietvert konfidenciālus biznesa dokumentus, finanšu ierakstus un personisko informāciju.

Cietušajiem tiek draudēts ar šīs informācijas publiskošanu, izmantojot plašsaziņas līdzekļus vai datu brokerus, ja maksājuma pieprasījumi tiek ignorēti. Šī taktika ievērojami palielina spiedienu uz organizācijām, īpaši tām, kas apstrādā sensitīvu klientu informāciju, regulētus datus vai patentētu intelektuālo īpašumu.

Lai stiprinātu savu ticamību, uzbrucēji piedāvā bez maksas atšifrēt vairākus nebūtiskus failus. Šī demonstrācija ir paredzēta, lai pierādītu, ka atšifrēšana ir tehniski iespējama, ja tiek samaksāta izpirkuma maksa. Piezīmē norādītie saziņas kanāli ietver e-pasta adreses, uz Tor balstītus portālus un qTox ziņojumapmaiņas ID. Cietušie tiek papildus mudināti izmantot ProtonMail “drošai” saziņai, savukārt 72 stundu termiņš mēģina radīt steidzamību, brīdinot, ka izpirkuma maksas pieprasījums pēc noteiktā perioda pieaugs.

Kāpēc BARADAI ir īpaši bīstams

BARADAI rada ievērojamus draudus, jo pieder pie MedusaLocker izspiedējvīrusu saimes — grupas, kas pazīstama ar to, ka tā mērķē uz uzņēmumiem un korporatīvo vidi, nevis ikdienas mājas lietotājiem. Šīs operācijas bieži tiek rūpīgi plānotas un veiktas pēc tam, kad uzbrucēji iegūst dziļu piekļuvi korporatīvajam tīklam.

Izspiedējvīruss parasti izplatās, izmantojot kompromitētus attālās darbvirsmas protokola (RDP) pakalpojumus. Uzbrucēji meklē internetam pieejamus RDP galapunktus, ko aizsargā vāji vai atkārtoti izmantoti akreditācijas dati, un pēc tam izmanto brutāla spēka uzbrukumus, lai iegūtu nesankcionētu piekļuvi. Nonākot iekšā, viņi pārvietojas pa tīklu, apdraud papildu sistēmas, atspējo aizsardzību un vienlaikus izvieto izspiedējvīrusu vairākās ierīcēs.

Pikšķerēšanas kampaņas joprojām ir nozīmīgs infekcijas vektors. Darbinieki var neapzināti atvērt ļaunprātīgus pielikumus, kas maskēti kā rēķini, pārskati vai biznesa saziņa. Šie faili bieži satur ļaunprātīgus makro, iegultus skriptus vai saites, kas ved uz ļaunprogrammatūras lejupielādi. Saspiesti arhīvi, piemēram, ZIP vai RAR faili, bieži tiek izmantoti, lai apietu pamata e-pasta filtrēšanas aizsardzību.

Papildu inficēšanas metodes ietver Trojas zirgu ļaunprogrammatūru, pirātisku programmatūru, nelegālus aktivizācijas rīkus, viltotus programmatūras atjauninājumus un neuzticamas lejupielādes platformas. Slikti segmentētos tīklos viens inficēts galapunkts var ātri izraisīt plašu kompromitēšanu visā organizācijā.

Šifrēšanas un atkopšanas izaicinājumi

Ar BARADAI šifrētu failu atgūšana bez uzbrucēja sadarbības parasti ir nereāla. Izspiedējvīruss izmanto spēcīgus kriptogrāfiskus mehānismus, kurus nav iespējams apiet bez piekļuves uzbrucēju kontrolētajai privātajai atšifrēšanas atslēgai. Ja vien pašā ļaunprogrammatūrā nav nopietna ieviešanas trūkuma, bezmaksas atšifrēšanas iespējas ir maz ticamas.

Kiberdrošības speciālisti stingri neiesaka maksāt izpirkuma maksu. Draudu izpildītāji bieži vien nespēj nodrošināt funkcionējošus atšifrēšanas rīkus pat pēc maksājuma saņemšanas. Dažos gadījumos upuri kļūst par atkārtotiem mērķiem, jo uzbrucēji tos identificē kā organizācijas, kas ir gatavas izpildīt izspiešanas prasības.

Lai gan izspiedējvīrusa noņemšana no inficētajām sistēmām ir būtiska, lai novērstu papildu šifrēšanas darbības, ļaunprogrammatūras noņemšana vien neatjauno jau bloķētus failus. Visuzticamākā atkopšanas stratēģija joprojām ir tīru dublējumu izmantošana, kas tiek glabāti bezsaistē vai pienācīgi drošā attālā infrastruktūrā, kas izolēta no galvenā tīkla.

Aizsardzības stiprināšana pret BARADAI un līdzīgiem draudiem

Organizācijas var ievērojami samazināt savu pakļautību izspiedējvīrusu uzbrukumiem, ieviešot daudzslāņu drošības kontroles un ievērojot disciplinētas kiberdrošības prakses. Efektīvai aizsardzībai ir nepieciešami gan tehniskie drošības pasākumi, gan darbinieku informētība.

Galvenie aizsardzības pasākumi ietver:

• Spēcīgu paroļu politiku un daudzfaktoru autentifikācijas ieviešana, īpaši RDP un citiem attālās piekļuves pakalpojumiem.
• Ierobežojot vai atspējojot atklāto RDP piekļuvi, kad vien tas ir iespējams.
• Regulāru bezsaistes un mākonī balstītu dublējumu uzturēšana, kas ir izolēti no ražošanas sistēmām.
• Drošības ielāpu tūlītēja ieviešana operētājsistēmās, lietojumprogrammās un tīkla ierīcēs.
• Izmantojot cienījamus galapunktu aizsardzības un tīkla uzraudzības risinājumus, kas spēj atklāt aizdomīgu rīcību.
• Tīklu segmentēšana, lai ierobežotu sānu kustību kompromisa laikā.
• Darbinieku apmācība atpazīt pikšķerēšanas e-pastus, ļaunprātīgus pielikumus un sociālās inženierijas taktikas.

Papildus šiem pasākumiem organizācijām jāievieš proaktīva incidentu reaģēšanas stratēģija. Nepārtraukta uzraudzība, draudu meklēšana, ievainojamību novērtējumi un ielaušanās testēšana var palīdzēt identificēt vājās vietas, pirms uzbrucēji tās izmanto. Incidentu reaģēšanas plāna izstrāde un praktizēšana arī ļauj drošības komandām efektīvāk reaģēt izspiedējvīrusa uzbrukuma laikā, samazinot darbības traucējumus un datu zudumu.

Augošā draudu ainava

BARADAI demonstrē, kā izspiedējvīrusu operācijas ir attīstījušās par organizētiem un ļoti graujošiem kibernoziedzniekiem. Apvienojot spēcīgu šifrēšanu, datu zādzības, psiholoģisko spiedienu un vairākus inficēšanas vektorus, uzbrucēji palielina finansiāla labuma gūšanas iespējamību, vienlaikus nodarot nopietnu kaitējumu cietušajiem.

Tā kā izspiedējvīrusu grupas turpina pilnveidot savu taktiku, stabilas kiberdrošības higiēnas uzturēšana kļūst būtiska visu lielumu organizācijām. Preventīvie drošības pasākumi, darbinieku izglītošana, uzticamas dublējumkopijas un ātras incidentu reaģēšanas spējas joprojām ir spēcīgākā aizsardzība pret tādiem draudiem kā BARADAI un plašākā MedusaLocker izspiedējvīrusu ekosistēma.