FIND Ransomware

Ochrana vašich zariadení pred škodlivým softvérom sa stala skôr nevyhnutnosťou ako voľbou. Kyberzločinci neustále vyvíjajú svoje taktiky a vytvárajú čoraz komplexnejšie druhy ransomvéru, ktoré sú navrhnuté tak, aby zneužili aj drobné bezpečnostné slabiny. FIND Ransomware, nedávno objavený variant z notoricky známej rodiny Dharma, je príkladom sofistikovanosti a vytrvalosti moderných ransomvérových operácií.

Vnútri útoku ransomvéru FIND

Ransomvér FIND funguje s rovnakou bezohľadnou efektivitou, vďaka ktorej sa Dharma stala jednou z najaktívnejších rodín ransomvéru. Po spustení začne malvér šifrovať súbory obete, čím ich zneprístupní. Pritom premenuje každý súbor pridaním jedinečného ID obete, e-mailovej adresy ovládanej útočníkom a prípony „.FIND“ – napríklad premenuje „1.png“ na „1.png.id-9ECFA84E.[findourtxt@tuta.io
].FIND.' Ďalší pozorovaný variant tejto hrozby používa namiesto toho príponu '.FIND5'.

Po zašifrovaní ransomvér doručuje svoje požiadavky dvoma kanálmi – kontextovou správou a súborom s výzvou na výkupné s názvom „info.txt“. Správa informuje obete, že ich súbory boli zašifrované, a dáva im pokyn, aby kontaktovali útočníkov prostredníctvom jednej z dvoch e-mailových adries – „findourtxt@tuta.io“ alebo „findourtxt@mailum.com“ – s použitím ich prideleného ID.

V oznámení s výkupným sa ďalej uvádza, že niektoré údaje obete boli ukradnuté a varuje sa, že nedodržanie pokynov bude mať za následok predaj alebo zdieľanie ukradnutých informácií s tretími stranami. Taktiež sa obetiam odporúča premenovať súbory alebo sa pokúšať o dešifrovanie údajov pomocou nástrojov tretích strán s tvrdením, že takéto kroky by mohli viesť k trvalej strate údajov alebo vyšším požiadavkám na výkupné.

Ako funguje ransomvér FIND

Podobne ako iné varianty Dharmy, aj FIND Ransomware postupuje podľa viacstupňového infikovacieho procesu, ktorý je navrhnutý tak, aby maximalizoval dopad a trvalosť. Po aktivácii v systéme malvér šifruje súbory na lokálnych aj sieťových diskoch, pričom sa zameriava na širokú škálu typov údajov a dokonca maže tieňové kópie zväzkov, aby sa zabránilo ich jednoduchej obnove.

Taktiež manipuluje s nastaveniami systému vypnutím brány firewall systému Windows, nastavovaním trvalosti umiestnením svojich kópií do adresára %LOCALAPPDATA% a pridávaním položiek do kľúčov databázy Registry Run. Okrem toho niektoré varianty založené na Dharme zhromažďujú údaje o polohe a môžu vylúčiť konkrétne systémové priečinky alebo jednotky zo šifrovania, pravdepodobne z prevádzkových alebo strategických dôvodov.

Vektory infekcie a distribučné kanály

FIND Ransomware, podobne ako jeho predchodcovia, sa šíri kombináciou podvodných a oportunistických metód. Kyberzločinci používajú phishingové kampane, škodlivé prílohy a podvodné odkazy vložené do e-mailov, aby oklamali používateľov a prinútili ich spustiť infekciu. Medzi ďalšie bežné metódy distribúcie patria:

1. Sťahovanie súborov bez predchádzajúceho upozornenia z napadnutých alebo škodlivých webových stránok.
2. Inštalácia prostredníctvom pirátskeho softvéru, falošných aktualizácií alebo cracknutých aplikácií.
3. Zneužívanie neopravených softvérových zraniteľností a slabých konfigurácií protokolu RDP (Remote Desktop Protocol).
4. Škodlivé reklamy, P2P siete a infikované vymeniteľné disky (USB).

Po nainštalovaní FIND šifruje kritické údaje a požaduje platbu, často v kryptomene, za poskytnutie dešifrovacieho kľúča – hoci neexistuje žiadna záruka, že platba povedie k úspešnému obnoveniu.

Najlepšie bezpečnostné postupy pre zachovanie ochrany

Ochrana pred ransomvérom, ako je FIND, si vyžaduje viacvrstvový a proaktívny prístup. Používatelia a organizácie môžu výrazne znížiť riziko infekcie implementáciou nasledujúcich základných postupov:

1. Posilnenie zabezpečenia zariadení a siete :

• Pravidelne aktualizujte operačné systémy, prehliadače a softvér, aby ste opravili známe zraniteľnosti.
• Nakonfigurujte firewally a antivírusové nástroje na detekciu a blokovanie podozrivých aktivít.
• Ak nie je potrebný, zakážte prístup RDP alebo ho obmedzte pomocou silných hesiel, viacfaktorového overovania a bielej listiny IP adries.

2. Dodržiavajte návyky bezpečného prehliadania a používania e-mailov :

• Vyhnite sa otváraniu nevyžiadaných príloh alebo klikaniu na odkazy od neznámych odosielateľov.
• Sťahujte softvér iba z dôveryhodných zdrojov a vyhýbajte sa torrentom alebo cracknutým programom.
• Pri odpovedaní na neočakávané „naliehavé“ alebo „bezpečnostné upozornenia“ buďte opatrní.

3. Udržiavajte spoľahlivé zálohy :

• Uchovávajte si offline alebo cloudové zálohy dôležitých údajov.

• Zabezpečte, aby boli záložné zariadenia po použití odpojené, aby sa predišlo šifrovaniu počas útoku.

4. Vzdelávajte a pripravujte sa :

• Zaškoľte všetkých používateľov v identifikácii phishingových pokusov a škodlivého správania.
• Vypracujte plán reakcie na incidenty, v ktorom načrtnete jasné kroky na izoláciu infikovaných systémov a obnovenie prevádzky.

Záverečné myšlienky

FIND Ransomware predstavuje ďalší vývojový krok v pretrvávajúcej a deštruktívnej rodine Dharma. Šifrovaním cenných údajov, manipuláciou s bezpečnostnými nastaveniami a využívaním psychologického tlaku prostredníctvom výkupných poznámok predstavuje tento malware vážnu hrozbu pre jednotlivcov aj organizácie.

Udržiavanie prísnej hygieny kybernetickej bezpečnosti, ostražitosť voči podozrivým online aktivitám a pravidelné zálohovanie údajov zostávajú najúčinnejšou obranou proti takýmto hrozbám ransomvéru.