Кортизол Ransomware

Масштаби та складність інфекцій шкідливим програмним забезпеченням продовжують зростати, що робить важливим для окремих осіб та організацій підтримувати надійний захист на всіх пристроях. Зокрема, програми-вимагачі становлять серйозну загрозу, оскільки вони не лише порушують конфіденційність даних, але й порушують доступність, блокуючи користувачів до їхніх власних файлів. Однією з нещодавно проаналізованих загроз, яка є прикладом цих небезпек, є Cortizol Ransomware, складний штам шкідливого програмного забезпечення для шифрування файлів, розроблений для вимагання жертв шляхом залякування та технічних маніпуляцій.

Cortizol Ransomware: розрахована схема шифрування

Програму-вимагач Cortizol було виявлено під час детального розслідування шкідливого програмного забезпечення, проведеного дослідниками інформаційної безпеки. Після запуску в системі програма-вимагач шифрує файли та змінює їхні назви за певним шаблоном. До кожного зашифрованого файлу додається ідентифікатор жертви, контактна адреса електронної пошти та розширення «.Cortizol». Наприклад, файл, який спочатку мав назву «1.png», перейменовано на «1.png-id-6640599815[cortizol@atomicmail.io].Cortizol», а «2.pdf» стає «2.pdf-id-6640599815[cortizol@atomicmail.io].Cortizol».

Така схема перейменування служить двом цілям: вона чітко сигналізує про те, що файли були захоплені в заручники, та вбудовує ідентифікаційні дані, які зловмисники використовують для відстеження жертв. Окрім шифрування файлів, Cortizol змінює шпалери робочого столу, щоб посилити видимість атаки, та розміщує записку з вимогою викупу під назвою «HOW_TO_RECOVER.txt», гарантуючи, що жертва не зможе пропустити інцидент.

Записка про викуп та психологічний тиск

У записці з вимогою викупу стверджується, що всі файли на скомпрометованій системі були зашифровані, і стверджується, що розшифрування неможливе без унікального закритого ключа, який зберігають зловмисники. Жертв попереджають, що будь-яка спроба використовувати сторонні інструменти розшифрування або перейменувати зашифровані файли призведе до постійного пошкодження даних. Такі попередження є поширеною психологічною тактикою, спрямованою на те, щоб перешкодити самостійним спробам відновлення.

Cortizol дає жертвам інструкції знайти файл під назвою «key.Cortizol», який нібито зберігається в каталозі «C:\ProgramData\» або на інших дисках, і надіслати його зловмисникам. У примітці також застерігається від перевстановлення або модифікації операційної системи Windows без збереження цього ключового файлу, що загрожує незворотною втратою даних, якщо інструкції не будуть точно виконані. Канали зв'язку включають адресу електронної пошти cortizol@atomicmail.io.
та обліковий запис у Telegram, ідентифікований як Cortizol2025. Такий багатоканальний підхід до зв’язку збільшує ймовірність того, що жертви виконають вимоги.

Хоча зловмисники наполягають на тому, що придбання закритого ключа — єдиний спосіб відновити доступ, досвід у сфері кібербезпеки постійно показує, що сплата викупу не гарантує відновлення файлів. Кіберзлочинці можуть не надати робочий інструмент розшифрування або просто припинити зв’язок після оплати.

Переносники інфекції та методи доставки

Програма-вимагач Cortizol поширюється за допомогою різноманітних добре зарекомендували себе методів розповсюдження. Фішингові електронні листи залишаються одним із найефективніших механізмів доставки, часто містять шкідливі вкладення або вбудовані посилання, які запускають завантаження корисного навантаження. Фальшиві схеми технічної підтримки та тактики соціальної інженерії ще більше збільшують ймовірність взаємодії з користувачем.

Зловмисники також розповсюджують програми-вимагачі через піратське програмне забезпечення, креки та генератори ключів, отримані з неофіційних або однорангових мереж обміну файлами. Скомпрометовані веб-сайти, оманлива реклама, заражені USB-накопичувачі та використання вразливостей у застарілому програмному забезпеченні забезпечують додаткові точки входу. Шкідливе навантаження зазвичай приховано у виконуваних файлах, скриптах, стиснутих архівах, таких як ZIP- або RAR-файли, або на перший погляд легітимних документах, включаючи файли Word, Excel та PDF. Таке поєднання шкідливого коду зі знайомими форматами підвищує рівень успішності заражень.

Вплив та ризики після зараження

Після активації Cortizol не лише шифрує доступні файли, але й може продовжувати сканування на наявність додаткових даних для компрометації. Якщо програмне забезпечення-вимагач не видаляти, воно може поширюватися між підключеними системами в одній мережі, посилюючи операційні збої та фінансові збитки. Чим довше шкідливе програмне забезпечення залишається на пристрої, тим більший ризик розширеного шифрування та потенційного розгортання вторинного корисного навантаження.

Відновлення без закритого ключа зловмисників зазвичай неможливе, якщо немає безпечних, неушкоджених резервних копій. З цієї причини організації та окремі користувачі з надійними офлайн- або хмарними резервними копіями мають набагато кращі можливості для відновлення операцій, не піддаючись вимогам вимагання.

Посилення захисту від програм-вимагачів

Ефективний захист від таких загроз, як Cortizol, вимагає багаторівневого підходу до безпеки, який поєднує технічні засоби захисту з обізнаністю користувачів. Наступні методи значно зменшують ризик зараження програмами-вимагачами:

• Регулярно створюйте автоматизовані резервні копії, що зберігаються офлайн або в безпечних хмарних середовищах, ізольованих від основної системи.
• Регулярно оновлюйте операційні системи, програми та програмне забезпечення безпеки, щоб виправляти відомі вразливості.
• Використовуйте надійні рішення для захисту кінцевих точок, здатні виявляти моделі поведінки програм-вимагачів.
• Уникайте завантаження піратського програмного забезпечення або файлів з неофіційних джерел та однорангових мереж.
• Будьте обережні, оброблюючи вкладення електронної пошти або натискаючи на посилання, особливо від невідомих або неочікуваних відправників.
• Вимкніть макроси в документах Office, якщо це не є абсолютно необхідним та не перевірено як безпечне.

Окрім цих заходів, швидке видалення виявленого програмного забезпечення-вимагача має вирішальне значення для запобігання подальшому шифруванню файлів або поширенню в мережі. Процедури реагування на інциденти повинні включати ізоляцію ураженої системи від мережі, проведення ретельного сканування на наявність шкідливого програмного забезпечення та відновлення чистих даних з резервних копій, де це можливо.

Програма-вимагач Cortizol ілюструє, як сучасні програми-вимагачі поєднують технічні механізми шифрування із соціальною інженерією та психологічним тиском. Проактивні методи безпеки в поєднанні з надійними стратегіями резервного копіювання даних залишаються найефективнішими контрзаходами проти таких кіберзагроз, що постійно розвиваються.