Izsiljevalska programska oprema Prinz Eugen

Do leta Mezo leta Ransomware

Prevedi v:

Zlonamerna programska oprema se nenehno razvija, izsiljevalska programska oprema pa ostaja ena najškodljivejših kibernetskih groženj, s katerimi se soočajo posamezniki in organizacije. Že ena sama okužba lahko povzroči trajno izgubo podatkov, motnje v delovanju in znatne finančne posledice. Ker sodobne kampanje izsiljevalske programske opreme pogosto uporabljajo sofisticirane tehnike za izogibanje odkrivanju in maksimiranje škode, je vzdrževanje močnih praks kibernetske varnosti bistvenega pomena za zaščito dragocenih informacij in kritičnih sistemov.

Kazalo

Tiha operacija izsiljevalske programske opreme

Prinz Eugen je izsiljevalska programska oprema, napisana v programskem jeziku Go, razvojnem ogrodju, ki je zaradi svoje prenosljivosti in učinkovitosti postalo vse bolj priljubljeno med kibernetskimi kriminalci. Zlonamerna programska oprema je bila povezana z akterjem grožnje, znanim kot ROOTBOY, in je zasnovana z enim glavnim ciljem: šifriranje podatkov in onemogočanje njihovega dostopa žrtvam.

Ko se Prinz Eugen zažene, šifrira datoteke in vsaki prizadeti datoteki doda končnico ».prinzeugen«. Na primer, datoteka z imenom 1.png postane 1.png.prinzeugen, medtem ko se 2.pdf preimenuje v 2.pdf.prinzeugen. Po tem postopku datotek ni več mogoče normalno odpreti.

Ena najbolj nenavadnih značilnosti Prinz Eugena je popolna odsotnost sporočila o odkupnini. Za razliko od večine družin izsiljevalske programske opreme, ki prikazujejo navodila za plačilo prek besedilnih datotek, ozadij namizja ali strani HTML, ta zlonamerna programska oprema za seboj ne pusti nobenega sporočila. Žrtve niso neposredno obveščene o tem, kaj se je zgodilo ali kako naprej, kar ustvarja zmedo in otežuje začetni odziv.

Šifriranje, zasnovano za preprečevanje obnovitve

Prinz Eugen se za zaklepanje datotek zanaša na algoritem šifriranja ChaCha20-Poly1305. Zlonamerna programska oprema za vsako šifrirano datoteko ustvari edinstveno naključno vrednost, kar pomeni, da obnovitev ene datoteke ne pomaga pri dešifriranju drugih. Ta implementacija znatno zmanjša možnosti za uspešno obnovitev s kriptografsko analizo.

Da bi še dodatno ovirala preiskavo, izsiljevalska programska oprema po končanem šifriranju uporablja mehanizem zakasnjenega samodejnega brisanja. Z odstranitvijo iz ogroženega sistema Prinz Eugen zmanjša količino forenzičnih dokazov, ki so na voljo preiskovalcem, in oteži odzivanje na incidente.

Žal je obnovitev datotek brez dostopa do orodja za dešifriranje napadalcev nerealna. Tudi takrat ostaja plačilo odkupnine nevarno tveganje, saj kibernetski kriminalci po prejemu plačila pogosto ne zagotovijo delujočega dešifratorja. Odstranitev zlonamerne programske opreme lahko prepreči dodatno škodo, vendar ne obnovi že šifriranih podatkov. V večini primerov je edina zanesljiva metoda obnovitve obnovitev datotek iz čistih varnostnih kopij, shranjenih brez povezave ali na varnih oddaljenih strežnikih.

Kako napadalci pridobijo dostop

Analiza kaže, da so ogrožene poverilnice za protokol oddaljenega namizja (RDP) ena glavnih vstopnih točk, ki jih uporabljajo operaterji Prinz Eugena. Napadalci lahko te poverilnice pridobijo s krajo poverilnic, ponovno uporabo gesel ali napadi z grobo silo na storitve RDP, izpostavljene internetu. Ko je dostop dosežen, lahko neposredno nadzorujejo ciljni računalnik in pripravijo okolje za namestitev izsiljevalske programske opreme.

Operaterji naj bi med fazo priprave pred začetkom postopka šifriranja uporabljali orodja za oddaljeno upravljanje. To vedenje odraža ciljno usmerjeno in namerno metodologijo napada, ki jo pogosto opazimo pri vdorih v podjetja in organizacije.

Tako kot mnoge družine izsiljevalske programske opreme lahko tudi Prinz Eugen doseže žrtve prek bolj tradicionalnih vektorjev okužbe. Lažna e-poštna sporočila, trojanski konji, piratska programska oprema in orodja za aktiviranje nezakonite programske opreme ostajajo pogosti mehanizmi dostave. Zlonamerni koristni tovor je mogoče prikriti kot arhive, izvedljive datoteke, dokumente Microsoft Officea in drugo na videz legitimno vsebino.

Komunikacija brez navodil

Čeprav na okužene naprave ni poslano nobeno sporočilo z zahtevo za odkupnino, razpoložljive analize kažejo, da operaterji pričakujejo, da bodo žrtve same sprožile komunikacijo. Z napadalci je mogoče stopiti v stik prek e-poštnih naslovov prinzeugen@mail2tor.co in standardbankcc@cock.li. Javno ni bila dokumentirana nobena fiksna zahteva za odkupnino, zaradi česar so žrtve negotove tako glede stroškov kot verjetnosti obnovitve svojih podatkov.

Ta nekonvencionalen pristop poudarja vse bolj raznolike taktike, ki jih uporabljajo operaterji izsiljevalske programske opreme, in dokazuje, da odsotnosti sporočila o odkupnini nikoli ne smemo razlagati kot znak, da je mogoče datoteke enostavno obnoviti.

Krepitev obrambe pred izsiljevalsko programsko opremo

Učinkovita zaščita pred grožnjami, kot je Prinz Eugen, zahteva večplastno varnostno strategijo. Organizacije in posamezni uporabniki se morajo osredotočiti na zmanjšanje možnosti napadalcev za pridobitev začetnega dostopa, hkrati pa zagotoviti, da so možnosti za obnovitev na voljo v primeru incidenta.

Naslednje prakse znatno izboljšajo odpornost proti okužbam z izsiljevalsko programsko opremo:

Redno vzdržujte varnostne kopije in shranjujte kopije brez povezave ali v varnih oblačnih okoljih, ki jih okuženi sistemi ne morejo neposredno spreminjati.
Uporabljajte močna, edinstvena gesla in zaščitite storitve oddaljenega dostopa, kot je RDP, z večfaktorsko avtentikacijo.
Onemogočite nepotrebne storitve oddaljenega dostopa in se izogibajte neposrednemu izpostavljanju RDP-ja internetu.
Pravočasno namestite posodobitve operacijskega sistema in programske opreme, da odpravite znane ranljivosti.
Namestite ugledno varnostno programsko opremo, ki je sposobna zaznati sumljivo vedenje in dejavnosti izsiljevalske programske opreme.

Bodite previdni pri odpiranju e-poštnih prilog, prenašanju datotek ali nameščanju programske opreme iz nezaupanja vrednih virov.

Izogibajte se uporabi piratskih programov, programskih razpok in nepooblaščenih orodij za aktivacijo.

Ozaveščenost o kibernetski varnosti je prav tako pomembna. Uporabniki bi morali spremljati sisteme glede nenavadnega vedenja, izvajati nadzor dostopa na podlagi načela najmanjših privilegijev in redno testirati postopke za obnovitev varnostnih kopij. Organizacije bi morale vzdrževati tudi načrte za odzivanje na incidente in usposabljati zaposlene za prepoznavanje poskusov lažnega predstavljanja in drugih tehnik socialnega inženiringa.

Zaključne misli

Prinz Eugen predstavlja prefinjeno in prikrito grožnjo izsiljevalske programske opreme, ki združuje močno šifriranje, tehnike ciljno usmerjenega vdora in zmožnosti samodejnega brisanja za povečanje škode in hkrati zmanjšanje forenzičnih dokazov. Ker odsotnost obvestila o odkupnini jo dela še posebej nenavadno in lahko odloži ustrezen odziv žrtev. Ker dešifriranje brez orodja napadalcev ni izvedljivo, ostajajo preprečevanje, močna varnost dostopa in zanesljive varnostne kopije najučinkovitejša obramba pred to zlonamerno programsko opremo.

EnigmaSoftov plačilni procesor Digital River GmbH Prijava stečaja ne vpliva na zaščito strank SpyHunter pred zlonamerno programsko opremo

Iskanje

Spremeni regijo