FIND Ransomware

Protejarea dispozitivelor împotriva programelor malware a devenit o necesitate mai degrabă decât o alegere. Infractorii cibernetici continuă să își dezvolte tacticile, creând variante de ransomware din ce în ce mai complexe, concepute pentru a exploata chiar și micile slăbiciuni de securitate. FIND Ransomware, o variantă recent descoperită din cunoscuta familie Dharma, exemplifică sofisticarea și persistența operațiunilor ransomware moderne.

În interiorul atacului ransomware FIND

Ransomware-ul FIND operează cu aceeași eficiență nemiloasă care a făcut din Dharma una dintre cele mai active familii de ransomware. La executare, malware-ul începe să cripteze fișierele victimei, făcându-le inaccesibile. În acest proces, redenumește fiecare fișier prin adăugarea ID-ului unic al victimei, a unei adrese de e-mail controlate de atacator și a extensiei „.FIND” - de exemplu, redenumind „1.png” în „1.png.id-9ECFA84E.[findourtxt@tuta.io]
].FIND.' O altă variantă observată a acestei amenințări folosește în schimb extensia „.FIND5”.

După criptare, ransomware-ul își transmite solicitările prin două canale - un mesaj pop-up și un fișier cu o notă de răscumpărare intitulat „info.txt”. Nota informează victimele că fișierele lor au fost criptate și le instruiește să contacteze atacatorii prin intermediul uneia dintre cele două adrese de e-mail - „findourtxt@tuta.io” sau „findourtxt@mailum.com” - folosind ID-ul atribuit.

Nota de răscumpărare susține în continuare că o parte din datele victimei au fost exfiltrate și avertizează că nerespectarea acestei cerințe va duce la vânzarea sau partajarea informațiilor furate cu terți. De asemenea, descurajează victimele să redenumească fișiere sau să încerce să decripteze datele folosind instrumente terțe, susținând că astfel de acțiuni ar putea duce la pierderi permanente de date sau la cereri mai mari de răscumpărare.

Cum funcționează ransomware-ul FIND

La fel ca alte variante Dharma, FIND Ransomware urmează un proces de infectare în mai mulți pași, conceput pentru a maximiza impactul și persistența. Odată activ pe un sistem, malware-ul criptează fișierele atât pe unitățile locale, cât și pe cele din rețea, vizând o gamă largă de tipuri de date și chiar ștergând copiile din umbră ale volumului pentru a preveni recuperarea ușoară.

De asemenea, modifică setările de sistem prin dezactivarea Paravanului de protecție Windows, stabilirea persistenței prin plasarea de copii ale sale în directorul %LOCALAPPDATA% și adăugarea de intrări în cheile de registry Run. În plus, unele variante bazate pe Dharma colectează date despre locație și pot exclude anumite foldere sau unități de sistem de la criptare, probabil din motive operaționale sau strategice.

Vectori de infecție și canale de distribuție

Ransomware-ul FIND, la fel ca predecesorii săi, se răspândește printr-o combinație de metode înșelătoare și oportuniste. Infractorii cibernetici folosesc campanii de phishing, atașamente rău intenționate și linkuri frauduloase încorporate în e-mailuri pentru a păcăli utilizatorii să inițieze infecția. Alte metode comune de distribuție includ:

1. Descărcări automate de pe site-uri web compromise sau rău intenționate.
2. Instalare prin software piratat, actualizări false sau aplicații piratate.
3. Exploatarea vulnerabilităților software neactualizate și a configurațiilor slabe ale Remote Desktop Protocol (RDP).
4. Reclame rău intenționate, rețele P2P și unități amovibile (USB-uri) infectate.

Odată instalat, FIND criptează datele critice și solicită plata, adesea în criptomonedă, pentru a furniza o cheie de decriptare - deși nu există nicio garanție că plata va duce la o recuperare cu succes.

Cele mai bune practici de securitate pentru a rămâne protejat

Apărarea împotriva ransomware-ului precum FIND necesită o abordare proactivă și cu mai multe niveluri. Utilizatorii și organizațiile pot reduce semnificativ riscul de infectare prin implementarea următoarelor practici esențiale:

1. Consolidarea securității dispozitivelor și rețelei :

• Actualizați periodic sistemele de operare, browserele și software-ul pentru a remedia vulnerabilitățile cunoscute.
• Configurați firewall-uri și instrumente antivirus pentru a detecta și bloca activitățile suspecte.
• Dezactivați accesul RDP dacă nu este necesar sau restricționați-l prin parole puternice, autentificare multi-factor și includere pe lista albă a IP-urilor.

2. Practicați obiceiuri de navigare și utilizare a e-mailurilor în siguranță :

• Evitați deschiderea atașamentelor nesolicitate sau accesarea linkurilor de la expeditori necunoscuți.
• Descărcați software doar din surse de încredere și evitați torrentele sau programele piratate.
• Fiți precauți atunci când răspundeți la mesaje neașteptate de tipul „urgent” sau „alertă de securitate”.

3. Mențineți copii de rezervă fiabile :

• Păstrați copii de rezervă offline sau în cloud ale datelor esențiale.

• Asigurați-vă că dispozitivele de rezervă sunt deconectate după utilizare pentru a preveni criptarea în timpul unui atac.

4. Educație și pregătire :

• Instruiți toți utilizatorii cu privire la identificarea tentativelor de phishing și a comportamentelor rău intenționate.
• Elaborați un plan de răspuns la incidente care să prezinte pași clari pentru izolarea sistemelor infectate și restabilirea operațiunilor.

Gânduri finale

Ransomware-ul FIND reprezintă încă o evoluție în familia de programe Dharma, persistente și distructive. Prin criptarea datelor valoroase, modificarea setărilor de securitate și utilizarea presiunii psihologice prin intermediul notelor de recompensă, acest malware reprezintă o amenințare serioasă atât pentru indivizi, cât și pentru organizații.

Menținerea unei igiene stricte a securității cibernetice, vigilența împotriva activităților online suspecte și păstrarea regulată a copiilor de rezervă ale datelor rămân cele mai eficiente măsuri de apărare împotriva unor astfel de amenințări ransomware.