Викрадене (MedusaLocker) програмне забезпечення-вимагач

Зі швидким розвитком цифрових загроз програми-вимагачі залишаються однією з найруйнівніших та найдорожчих форм кіберзлочинності. Ці атаки можуть заблокувати жертвам доступ до власних файлів, порушити бізнес-операції та призвести до значної фінансової та репутаційної шкоди. Тому підтримка надійної гігієни кібербезпеки є важливою для мінімізації впливу шкідливих програм, таких як викрадене програмне забезпечення-вимагач (MedusaLocker).

Огляд викраденого програмного забезпечення-вимагача

Дослідники з кібербезпеки виявили Stolen, небезпечний варіант програми-вимагача, що належить до сімейства MedusaLocker. Щойно шкідливе програмне забезпечення отримує доступ до пристрою, воно негайно шифрує цінні дані та змінює імена файлів, додаючи унікальне розширення «.stolen[номер]», наприклад, «1.png» стає «1.png.stolen30». Після шифрування файлів шкідливе програмне забезпечення залишає повідомлення з вимогою викупу під назвою «READ_NOTE.html» у уражених каталогах.
У повідомленні жертв повідомляється, що їхні файли були заблоковані за допомогою комбінації алгоритмів шифрування RSA та AES — методу, розробленого для того, щоб зробити відновлення практично неможливим без ключа розшифрування, який мають зловмисники.

Записка про викуп та вимоги нападників

У повідомленні з вимогою викупу пояснюється, що всі файли були зашифровані, і жертви застерігаються від спроб відновити або змінити їх за допомогою сторонніх інструментів, стверджуючи, що такі спроби призведуть до безповоротної втрати даних. Далі стверджується, що зловмисники викрали конфіденційну та особисту інформацію, зберігаючи її на приватному сервері, який нібито буде знищено після оплати.

Щоб чинити тиск на жертв, злочинці погрожують опублікувати або продати викрадені дані, якщо викуп не буде сплачено негайно. Вони доручають жертвам зв’язатися з ними за вказаними адресами електронної пошти — stevensfalls@outlook.com або richardfeuell@outlook.com — і попереджають, що сума викупу збільшиться через 72 години.

Незважаючи на ці погрози, сплата викупу вкрай не рекомендується. Немає жодної гарантії, що жертви відновлять доступ до своїх даних, і це лише заохочує подальшу злочинну діяльність. Ті, хто має безпечні резервні копії офлайн, можуть відновити свої файли без взаємодії зі зловмисниками.

Переносники інфекції та тактика поширення

Викрадене програмне забезпечення-вимагач використовує кілька каналів розповсюдження, що робить його дуже універсальним та небезпечним. Зловмисники часто покладаються на:

• Фішингові електронні листи, що містять заражені вкладення або посилання, які після відкриття запускають встановлення шкідливого програмного забезпечення.
• Експлойт-кіти, що використовують невиправлені вразливості програмного забезпечення.
• Шкідлива реклама (malvertising) та автоматичні завантаження, які встановлюють програмне забезпечення-вимагач під час відвідування скомпрометованих або небезпечних веб-сайтів.

• Ненадійні платформи обміну файлами, P2P-мережі або піратське програмне забезпечення, яке часто містить приховані корисні навантаження.

У деяких випадках для доставки програм-вимагачів нічого не підозрюючим користувачам також використовуються заражені USB-пристрої, шкідливі скрипти або стиснуті архіви.

Рекомендовані заходи безпеки для запобігання зараженню програмами-вимагачами

Захист від таких складних програм-вимагачів, як Stolen, вимагає проактивного та багаторівневого підходу до безпеки. Користувачам слід застосовувати такі найкращі практики для захисту своїх систем і даних:

1. Посилення безпеки системи та мережі

• Регулярно оновлюйте операційні системи, програмне забезпечення та засоби безпеки, щоб виправляти відомі вразливості.
• Використовуйте надійні рішення для захисту від шкідливих програм та брандмауерів, здатні виявляти поведінку, подібну до програм-вимагачів.
• Вимкнути виконання макросів та скриптів у вкладеннях електронної пошти та документах від невідомих відправників.
• Використовуйте багатофакторну автентифікацію (MFA) та забезпечте дотримання політик надійних паролів для запобігання несанкціонованому доступу.

2. Практикуйте безпечну та усвідомлену поведінку в Інтернеті

• Уникайте відкриття підозрілих електронних листів або завантаження файлів з незнайомих джерел.
• Утримуйтесь від використання зламаного програмного забезпечення або неофіційних завантажувачів, оскільки вони є поширеними рознощиками шкідливих програм.
• Регулярно створюйте резервні копії важливих файлів на офлайн- або хмарне сховище, відключене від вашої основної системи.
• Навчайте користувачів в організаціях тактикам соціальної інженерії та фішингу, щоб зменшити ризик випадкового виконання шкідливих файлів.

Заключні думки

Викрадена програма-вимагач (MedusaLocker) є прикладом того, як сучасні кампанії з використанням програм-вимагачів поєднують надійне шифрування, психологічні маніпуляції та крадіжку даних для максимального ефекту. Жертви повинні зосередитися на стримуванні та відновленні, а не на виконанні вимог щодо викупу. Ефективні заходи кібербезпеки, включаючи регулярні оновлення, обережний перегляд веб-сторінок та безпечне резервне копіювання, залишаються найсильнішим захистом від атак програм-вимагачів.