Szeretnénk felhívni figyelmet egy új zsarolóvírusra, amely mostanában egyre szélesebb körben terjed. A Foxtrot a legújabb ransomware variáns a MedusaLocker családban.
A VirusTotal platformra beküldött fájlok rutinvizsgálata során fedezték fel, és hírhedt arról, hogy titkosítja a fájlokat, és váltságdíjat követel. Ismeretes, hogy nagy szervezeteket, különösen vállalatokat céloz meg, és kettős zsarolási taktikát alkalmaz.
A MedusaLocker működése
Kezdeti hozzáférés:
A MedusaLocker szereplői a Távoli Asztali Protokoll (RDP) konfigurációk sebezhetőségeit kihasználva szereznek jogosulatlan hozzáférést az áldozatok rendszereihez.
E-mailen keresztüli terjesztésére adathalász kampányokat használnak.
Terjedés:
Amint bejutnak a hálózatba, a MedusaLocker egy batch fájlt használ egy PowerShell szkript (Invoke-ReflectivePEInjection) futtatására, amely terjeszti a zsarolóvírust a hálózaton. Ez magába foglalja a rendszerbeállítások módosítását, hogy lehetővé tegyék a kapcsolódást, és olyan protokollok használatát, mint az ICMP és az SMB, hogy más rendszereket és megosztott tárolókat érzékeljen.
Fertőzési folyamat:
- A zsarolóvírus módosítja a registry-t, és újraindítja a szolgáltatásokat, mint a LanmanWorkstation, hogy érvényesítse a változtatásokat.
- Leállítja a biztonsági, felügyeleti és monitorozó szoftverekhez kapcsolódó folyamatokat, hogy elkerülje a felderítést.
- A gép safe módba indul újra, hogy letiltsa a végpontvédelmet.
- A MedusaLocker ezután az AES-256 titkosítási algoritmust használva titkosítja a fájlokat, a titkosítási kulcsot pedig egy RSA-2048 nyilvános kulccsal biztosítja.
- A zsarolóvírus minden 60 másodpercben fut, hogy folyamatosan titkosítsa a fájlokat, kivéve a kritikus rendszerfájlokat.
Állandó működés és rendszerzavar:
A MedusaLocker állandóságot biztosít azzal, hogy egy végrehajtható fájlt (pl. svhost.exe) másol a rendszer APPDATA mappájába, és ütemezi, hogy 15 percenként fusson.
Törli a biztonsági mentéseket, letiltja a helyreállítási lehetőségeket, és eltávolítja az shadow copies-okat, hogy a helyreállítás nehezebb legyen.
Zsaroló üzenet és fizetés:
Zsaroló üzenetet helyeznek el minden olyan mappába, amely titkosított fájlokat tartalmaz, és az áldozatokat arra utasítják, hogy vegyék fel a kapcsolatot a támadókkal a megadott e-mail címeken keresztül, és fizessenek Bitcoinban.
A váltságdíj mértéke az áldozat feltételezett anyagi helyzetétől függően változik.
A MedusaLocker szereplők általában megosztják a váltságdíjat a partnerek (akik terjesztik a zsarolóvírust) és a fejlesztők között, a partnerek 55-60%-os részesedést kapnak.
Ez a modell lehetővé teszi a fenyegetés széleskörű elterjedését több támadó által.
Javaslatok a védekezéshez
A Heimdal Security hatékony biztonsági intézkedéseket kínál, amelyek különösen hatékonyak a brute force támadások ellen. A vállalatoknak alkalmazkodniuk kell az olyan átfogó kiberbiztonsági szabványokhoz, mint az ISO 27001 és a NIST Cybersecurity Framework, hogy teljes körű védelmet érjenek el.
A Heimdal megoldásai fontos részei ennek a védekezési stratégiának, de a több rétegű megközelítés, mint például a megelőző ellenőrzések és szabványok betartása, elengedhetetlen a fenyegetések 99%-ának kivédéséhez.
Ahogy ezen az ábrán is látható, a Heimdal erős technikai (AV, PAM stb.) és detektív (pl. brute force modul, XTP) rétegekre épül, amelyek hatékonyan felismerik és megakadályozzák a támadásokat.
Azonban a maximális védelem érdekében olyan megelőző intézkedésekkel, mint például a többfaktoros hitelesítés (MFA), szükséges kiegészíteni a védekezést. A Heimdal Security megoldásai kulcsfontosságú elemei egy átfogó kiberbiztonsági stratégiának, amelyet megelőző védelmi módszerekkel kombinálva érhetünk el.
Manapság a vállalatok egyre inkább több rétegű hitelesítést alkalmaznak, mint például push értesítések, PIN kódok, illetve biometrikus azonosítások, amelyek az úgynevezett "valami, amit birtokolsz, valami, amit tudsz, és valami, ami vagy" (something you have, something you know, and something you are) elvén alapulnak.
Azonban számos esetben a szerverek nem védhetők megfelelően ezekkel a megelőző ellenőrzésekkel, ilyenkor az ajánlott megoldás egy jump server használata.
A jump server egy megerősített és szigorúan felügyelt eszköz, amely két különböző biztonsági zónát köt össze, biztosítva az ellenőrzött hozzáférést a hálózatok között. Ez a megoldás különösen hasznos például egy DMZ-ben lévő hoszt kezeléséhez megbízható hálózatokból vagy számítógépekből.
A NIST SP 800-63-3b irányelv különösen hasznos útmutatást nyújt a biztonságos hitelesítési megoldások alkalmazásában. Röviden, az SSH kulcsok egy jump server használatával egyenértékűek a "multifactor crypto software"-rel, amely ideális megoldás a moderate impact információk védelmére.
Bővebb információt találhatnak a NIST kiadványában.
A következő linkeken olvashatsz még a zsarolóvírussal kapcsolatban:
https://medium.com/@stopdjvudecryptor/foxtrot-ransomware-decryption-an-515bced0ec29
Javasoljuk, hogy minden esetben ügyeljetek a fontos beállításokra!
Üdvözlettel:
Maxvalor, a Heimdal™ Security hazai forgalmazója
