АйтарлықIT

Деректерді жасырудың дамыған әдістерін қолданатын жаңа бағдарлама-бопсалаушы табылды

Ақпарат ағыны

2 min read
Деректерді жасырудың дамыған әдістерін қолданатын жаңа бағдарлама-бопсалаушы табылды

«Лаборатория Касперского» киберинциденттерге жаһандық әрекет ету тобы (Kaspersky GERT) жаңа Ymir деп аталатын бағдарлама-вымогательді анықтады, ол ұйымдардың деректерін шифрлау және анықтаудан айналып өту үшін жетілдірілген әдістерді қолданады. Бұл зиянды бағдарлама Сатурнның кері бағытта айналатын ретсіз серігі Ymir құрметіне аталған. Атау бағдарламадағы жадты басқарудың ерекше функцияларының үйлесуін көрсетеді.

Ymir-ді қалай тапты. «Лаборатория Касперского» сарапшылары Ymir-ді Колумбиядағы ұйымға жасалған шабуылды талдай отырып анықтады. Шабуыл бірнеше кезеңде жүзеге асқан. Алдымен, зиянкестер RustyStealer стилерін қолданып, қызметкерлердің корпоративтік тіркелгі деректерін ұрлап алған. Бұл оларға жүйеге қол жеткізуге және бағдарлама-вымогательді енгізу үшін ұзақ уақыт бойы бақылауды сақтауға мүмкіндік берді.

Зиянкестердің осындай әдіспен жүйеге еніп, біраз уақыт бойы онда қалуы бастапқы қол жеткізу брокерлеріне тән мінез-құлық болып табылады. Әдетте, олар шабуыл жасалған жүйеге қолжетімділікті даркнетте басқа зиянкестерге сатады. Бірақ бұл жағдайда шабуылдаушылар мұны істемей, бағдарлама-бопсалаушы өздері іске қосқан.

«Егер бастапқы қолжеткізу брокерлері мен бағдарлама-бопсалаушыны іске қосқандар бір адамдар болса, бұл негізгі трендтен ауытқу деп айтуға болады: зиянкестерде дәстүрлі шифрлауды қызмет ретінде ұсынатын топтарға сүйенбестен, қосымша бұзу мүмкіндіктері пайда болды», — дейді «Лаборатория Касперского» компьютерлік инциденттерге жаһандық әрекет ету тобының басшысы Константин Сапронов.

Зиянкестер зиянды кодты тікелей жадта орындау үшін malloc, memmove және memcmp функцияларының стандартты емес комбинациясын қолданды. Бұл тәсіл жалпы шифровальщиктерде жиі қолданылатын типтік орындау тізбегінен ерекшеленеді және анықтаудан тиімдірек айналып өтуге мүмкіндік береді.

Оған қоса, Ymir шабуылдаушыларға файлдарды іріктеп шифрлауға мүмкіндік береді, бұл оларға жағдайды тиімдірек бақылауға мүмкіндік береді. Path командасын қолдана отырып, зиянкестер бағдарлама-бопсалаушыға қай каталогта деректерді іздеу керектігін көрсете алады. Егер файл «ақ тізімде» болса, бағдарлама оны өткізіп, шифрламайды.

Жетілдірілген шифрлау алгоритмі. Бағдарлама-бопсалаушы ChaCha20 заманауи шифрлау алгоритмін қолданады, ол жоғары жылдамдығы мен қауіпсіздігімен ерекшеленеді. Сипаттамалары бойынша ол Advanced Encryption Standard (AES) шифрлау алгоритмінен жоғары.

Зиянкестер мәліметтерді ұрлағаны туралы көпшілікке жарияламағанымен және ешқандай талаптар қоймағанымен, сарапшылар олардың кез келген жаңа әрекетін қадағалайды.

«Біз шифрлаушыларды қолдана отырып шабуыл жасайтын жаңа топтардың пайда болғанын байқамадық. Әдетте зиянкестер деректердің ағып кетуі туралы ақпаратты даркнеттегі форумдарда немесе порталдарда жариялайды, содан кейін құрбандарынан төлем талап етеді. Бірақ Ymir жағдайында бұл әлі болған жоқ. Сондықтан бұл жаңа науқан болуы мүмкін деген сұрақ ашық күйде қалады», — деп атап өтті Константин.

Компанияның шешімдері жаңа бағдарламаны Trojan-Ransom.Win64.Ymir.gen ретінде анықтайды. Толығырақ ақпарат Securelist сайтындағы шолуда.

Қауіптерді азайту үшін сарапшылардың ұсыныстары:

• деректердің резервтік көшірмесін үнемі жасау және олардың қолжетімділігін қамтамасыз ету үшін оларды тұрақты түрде тексеру;

• қызметкерлерге киберқауіптер туралы хабардар болуды арттыру және кибергигиенаны үйрету бойынша тренингтер өткізу;

• егер құрылғыдағы деректер шифрланған болса және оны дешифрлайтын құрал әлі болмаса, маңызды шифрланған файлдарды сақтау керек. Кейінірек, қауіп-қатерді зерттеу барысында шифрды ашу кілті жасалуы мүмкін;

• төлем жасамау, себебі бұл зиянды бағдарламалардың жасаушыларын шабуылды жалғастыруға ынталандырады, сонымен қатар деректерді қалпына келтіру кепілдігі жоқ;

• тәуелсіз сынақтармен расталатын сенімді қауіпсіздік шешімдерін қолдану;

• компанияларды киберқауіптерден кешенді қорғау. Бұл өнімдер кез келген көлемдегі және саладағы ұйымдарға арналған, қауіптерді толық бақылауға және нақты уақыттағы қорғауға мүмкіндік беретін бірнеше деңгейлі қорғанысты қамтамасыз етеді;

• инциденттерге жауап берудің толық циклін қамтитын басқарылатын қорғаныс шешімдерін қолдану — қауіптерді анықтаудан бастап оларды жоюға дейін. Бұл жасырын кибершабуылдарға қарсы тұруға, инциденттерді талдауға және сарапшылардың қолдауын алуға көмектеседі.

TSARKA қолдауымен