FIND Ransomware

Захист ваших пристроїв від шкідливого програмного забезпечення став необхідністю, а не вибором. Кіберзлочинці продовжують удосконалювати свою тактику, створюючи дедалі складніші штами програм-вимагачів, призначені для використання навіть незначних слабких місць у безпеці. FIND Ransomware, нещодавно виявлений варіант із сумнозвісної родини Dharma, є прикладом витонченості та стійкості сучасних операцій програм-вимагачів.

Всередині атаки FIND Ransomware

Програма-вимагач FIND працює з тією ж безжальною ефективністю, яка зробила Dharma одним із найактивніших сімейств програм-вимагачів. Після запуску шкідливе програмне забезпечення починає шифрувати файли жертви, роблячи їх недоступними. У процесі воно перейменовує кожен файл, додаючи унікальний ідентифікатор жертви, адресу електронної пошти, контрольовану зловмисником, і розширення «.FIND» — наприклад, перейменовуючи «1.png» на «1.png.id-9ECFA84E.[findourtxt@tuta.io»
Інший спостережуваний варіант цієї загрози використовує розширення '.FIND5'.

Після шифрування програма-вимагач доставляє свої вимоги через два канали — спливаюче повідомлення та файл із вимогою викупу під назвою «info.txt». У повідомленні жертви інформуються про те, що їхні файли зашифровано, та наказується зв’язатися зі зловмисниками через одну з двох адрес електронної пошти — «findourtxt@tuta.io» або «findourtxt@mailum.com» — використовуючи призначений їм ідентифікатор.

У записці з вимогою викупу також стверджується, що деякі дані жертви були викрадені, і попереджається, що невиконання вимог призведе до продажу або передачі викраденої інформації третім особам. У ній також не рекомендується перейменовувати файли або намагатися розшифрувати дані за допомогою сторонніх інструментів, стверджуючи, що такі дії можуть призвести до безповоротної втрати даних або збільшення вимог щодо викупу.

Як працює програма-вимагач FIND

Як і інші варіанти Dharma, FIND Ransomware дотримується багатоетапного процесу зараження, розробленого для максимального впливу та стійкості. Після активації в системі шкідливе програмне забезпечення шифрує файли як на локальних, так і на мережевих дисках, атакуючи широкий спектр типів даних і навіть видаляючи тіньові копії томів, щоб запобігти легкому відновленню.

Він також втручається в системні налаштування, вимикаючи брандмауер Windows, встановлюючи постійне розташування, розміщуючи свої копії в каталозі %LOCALAPPDATA% та додаючи записи до розділів реєстру Run. Крім того, деякі варіанти на основі Dharma збирають дані про місцезнаходження та можуть виключати певні системні папки або диски з шифрування, ймовірно, з операційних або стратегічних причин.

Переносники інфекції та канали розповсюдження

Програма-вимагач FIND, як і її попередники, поширюється за допомогою комбінації шахрайських та опортуністичних методів. Кіберзлочинці використовують фішингові кампанії, шкідливі вкладення та шахрайські посилання, вбудовані в електронні листи, щоб обманом змусити користувачів ініціювати зараження. Інші поширені методи поширення включають:

1. Завантаження з компрометованих або шкідливих веб-сайтів.
2. Встановлення за допомогою піратського програмного забезпечення, підроблених оновлень або зламаних програм.
3. Використання невиправлених вразливостей програмного забезпечення та слабких конфігурацій протоколу віддаленого робочого столу (RDP).
4. Шкідлива реклама, P2P-мережі та заражені знімні накопичувачі (USB).

Після встановлення FIND шифрує важливі дані та вимагає оплату, часто в криптовалюті, за надання ключа розшифрування, хоча немає гарантії, що оплата призведе до успішного відновлення.

Найкращі практики безпеки для захисту

Захист від програм-вимагачів, таких як FIND, вимагає багаторівневого та проактивного підходу. Користувачі та організації можуть значно знизити ризик зараження, впроваджуючи такі важливі практики:

1. Посилення безпеки пристроїв та мережі :

• Регулярно оновлюйте операційні системи, браузери та програмне забезпечення, щоб виправляти відомі вразливості.
• Налаштуйте брандмауери та антивірусні інструменти для виявлення та блокування підозрілої активності.
• Вимкніть доступ RDP, якщо він не потрібен, або обмежте його за допомогою надійних паролів, багатофакторної автентифікації та білого списку IP-адрес.

2. Практикуйте безпечний перегляд веб-сторінок та звички користування електронною поштою :

• Уникайте відкриття небажаних вкладень або переходу за посиланнями від невідомих відправників.
• Завантажуйте програмне забезпечення лише з перевірених джерел та уникайте торентів або зламаних програм.
• Будьте обережні, реагуючи на неочікувані «термінові» повідомлення або повідомлення про «сповіщення безпеки».

3. Зберігайте надійні резервні копії :

• Зберігайте резервні копії важливих даних офлайн або в хмарі.

• Переконайтеся, що резервні пристрої відключені після використання, щоб запобігти шифруванню під час атаки.

4. Навчати та готувати :

• Навчіть усіх користувачів розпізнавати спроби фішингу та зловмисну поведінку.
• Розробіть план реагування на інциденти, в якому будуть чітко визначені кроки для ізоляції заражених систем та відновлення роботи.

Заключні думки

Програма-вимагач FIND є черговою еволюцією у стійкій та руйнівній родині Dharma. Шифруючи цінні дані, втручаючи в налаштування безпеки та використовуючи психологічний тиск за допомогою записок з вимогою викупу, це шкідливе програмне забезпечення становить серйозну загрозу як для окремих осіб, так і для організацій.

Підтримка суворої гігієни кібербезпеки, пильність щодо підозрілої онлайн-активності та регулярне резервне копіювання даних залишаються найефективнішими засобами захисту від таких загроз програм-вимагачів.