FIND Ransomware

Å beskytte enhetene dine mot skadelig programvare har blitt en nødvendighet snarere enn et valg. Nettkriminelle fortsetter å utvikle taktikkene sine, og lager stadig mer komplekse ransomware-stammer som er utformet for å utnytte selv mindre sikkerhetssvakheter. FIND Ransomware, en nylig oppdaget variant fra den beryktede Dharma-familien, eksemplifiserer sofistikasjonen og utholdenheten til moderne ransomware-operasjoner.

Inne i FIND-ransomwareangrepet

FIND Ransomware opererer med den samme hensynsløse effektiviteten som har gjort Dharma til en av de mest aktive ransomware-familiene. Ved kjøring begynner skadevaren å kryptere offerets filer, noe som gjør dem utilgjengelige. I prosessen gir den nytt navn til hver fil ved å legge til offerets unike ID, en angriperkontrollert e-postadresse og filtypen '.FIND' – for eksempel ved å gi nytt navn til '1.png' til '1.png.id-9ECFA84E.[findourtxt@tuta.io]
].FIND.' En annen observert variant av denne trusselen bruker filtypen '.FIND5' i stedet.

Etter kryptering leverer løsepengeviruset sine krav gjennom to kanaler – en popup-melding og en løsepengemeldingsfil med tittelen «info.txt». Meldingen informerer ofrene om at filene deres er kryptert og instruerer dem til å kontakte angriperne via en av to e-postadresser – «findourtxt@tuta.io» eller «findourtxt@mailum.com» – ved å bruke deres tildelte ID.

Løsepengebrevet hevder videre at noe av offerets data har blitt stjålet, og advarer om at manglende overholdelse av kravene vil føre til at den stjålne informasjonen blir solgt eller delt med tredjeparter. Det fraråder også ofre å gi nytt navn til filer eller forsøke å dekryptere data ved hjelp av tredjepartsverktøy, med påstand om at slike handlinger kan føre til permanent datatap eller høyere krav om løsepenger.

Hvordan FIND Ransomware fungerer

I likhet med andre Dharma-varianter følger FIND Ransomware en flertrinns infeksjonsprosess som er utformet for å maksimere effekt og varighet. Når den er aktiv på et system, krypterer skadevaren filer på tvers av både lokale og nettverksstasjoner, og retter seg mot et bredt spekter av datatyper og sletter til og med Volume Shadow Copies for å forhindre enkel gjenoppretting.

Den tukler også med systeminnstillinger ved å deaktivere Windows-brannmuren, etablere persistens ved å plassere kopier av seg selv i %LOCALAPPDATA%-katalogen og legge til oppføringer i Run-registernøklene. I tillegg samler noen Dharma-baserte varianter inn posisjonsdata og kan ekskludere bestemte systemmapper eller stasjoner fra kryptering, sannsynligvis av driftsmessige eller strategiske årsaker.

Infeksjonsvektorer og distribusjonskanaler

FIND Ransomware sprer seg, i likhet med sine forgjengere, gjennom en kombinasjon av villedende og opportunistiske metoder. Nettkriminelle bruker phishing-kampanjer, ondsinnede vedlegg og falske lenker innebygd i e-poster for å lure brukere til å starte infeksjonen. Andre vanlige distribusjonsmetoder inkluderer:

1. Drive-by-nedlastinger fra kompromitterte eller ondsinnede nettsteder.
2. Installasjon via piratkopiert programvare, falske oppdateringer eller sprukne applikasjoner.
3. Utnyttelse av uoppdaterte programvaresårbarheter og svake RDP-konfigurasjoner (Remote Desktop Protocol).
4. Ondsinnede annonser, P2P-nettverk og infiserte flyttbare stasjoner (USB-er).

Når FIND er installert, krypterer det kritiske data og krever betaling, ofte i kryptovaluta, for å gi en dekrypteringsnøkkel – selv om det ikke er noen garanti for at betaling vil føre til vellykket gjenoppretting.

Beste sikkerhetspraksis for å holde seg beskyttet

Å forsvare seg mot ransomware som FIND krever en lagdelt og proaktiv tilnærming. Brukere og organisasjoner kan redusere risikoen for infeksjon betydelig ved å implementere følgende viktige fremgangsmåter:

1. Styrk enhets- og nettverkssikkerheten :

• Oppdater operativsystemer, nettlesere og programvare regelmessig for å rette opp kjente sårbarheter.
• Konfigurer brannmurer og antivirusverktøy for å oppdage og blokkere mistenkelig aktivitet.
• Deaktiver RDP-tilgang hvis det ikke er nødvendig, eller begrens den med sterke passord, flerfaktorautentisering og IP-hvitelisting.

2. Øv deg på sikker surfing og e-postvaner :

• Unngå å åpne uoppfordrede vedlegg eller klikke på lenker fra ukjente avsendere.
• Last ned programvare kun fra pålitelige kilder, og unngå torrenter eller hackede programmer.
• Vær forsiktig når du svarer på uventede «hastemeldinger» eller «sikkerhetsvarsler».

3. Oppretthold pålitelige sikkerhetskopier :

• Oppbevar sikkerhetskopier av viktige data frakoblet eller i skyen.

• Sørg for at sikkerhetskopieringsenheter kobles fra etter bruk for å forhindre kryptering under et angrep.

4. Utdanning og forberedelse :

• Opplær alle brukere i å identifisere phishing-forsøk og ondsinnet oppførsel.
• Utvikle en hendelsesplan som beskriver tydelige trinn for å isolere infiserte systemer og gjenopprette driften.

Avsluttende tanker

FIND Ransomware representerer nok en evolusjon i den vedvarende og destruktive Dharma-familien. Ved å kryptere verdifulle data, tukle med sikkerhetsinnstillinger og utnytte psykologisk press gjennom løsepengebrev, utgjør denne skadelige programvaren en alvorlig trussel mot både enkeltpersoner og organisasjoner.

Å opprettholde god cybersikkerhetshygiene, være årvåken mot mistenkelig nettaktivitet og regelmessig sikkerhetskopiering av data er fortsatt det mest effektive forsvaret mot slike ransomware-trusler.