Bacarırsansa, tut məni... Kaspersky gizli şifrələmə funskiyalarına malik fidyə proqramı aşkarlayıb

Kaspersky Qlobal Kiber İnsidentlərə Cavab Qrupu (Kaspersky GERT) qurban seçilmiş təşkilatın məlumatlarını aşkarlanmadan yan keçərək şifrələmək üçün qabaqcıl mexanizmlərdən istifadə edən yeni fidyə proqramı aşkar edib. Zərərli proqram Saturn planetinin nizamsız peykinin şərəfinə “Ymir” adlandırılıb. Bu peyk orbitdə planetin fırlanmasına əks istiqamətdə hərəkət edir. “Ymir” adı zərərli proqram tərəfindən istifadə edilən yaddaş idarəetmə funksiyalarının qeyri-standart birləşməsini əks etdirir.

Bizimyol.info informasiya portalı şirkətə istinadən xəbər verir ki, Kaspersky mütəxəssisləri Kolumbiyada bir təşkilata bir neçə mərhələdə edilmiş hücumu təhlil edərkən “Ymiri” aşkar ediblər. Birincisi, təcavüzkarlar işçilərin korporativ hesab məlumatlarını oğurlamaq üçün “RustyStealer” stilerindən istifadə ediblər. Bu, onlara sistemə giriş əldə etmək və sonra fidyə proqramını yeritmək üçün kifayət qədər uzun müddət ərzində ona nəzarət etməyə imkan verdi.

Təcavüzkarların bu cür davranışı, yəni sistemə nüfuz edib və bir müddət orada qalmaq, qondarma “ilkin giriş brokerləri” üçün xarakterikdir. Onlar adətən hücuma məruz qalan sistemə giriş məlumatlarını qaranlıq internetdə digər təcavüzkarlara satırlar. Lakin, bu halda, təcavüzkarlar çox güman ki, bunu etməyib və fidyə proqramını işə salıblar.

"Əgər qondarma "brokerlər" və fidyə proqramını sistemə yeridənlər eyni insanlardırsa, əsas tendensiyadan kənara çıxma haqqında danışmaq olar: təcavüzkarların şifrələməni xidmət kimi (RaaS) təklif edən ənənəvi qruplara etibar etmədən hakerlik etmək üçün əlavə imkanları var”, - deyə Kaspersky-nin Qlobal kompüter insidentlərinə reaksiya qrupunun rəhbəri Konstantin Sapronov qeyd edir.

Təcavüzkarlar zərərli kodu bilavasitə yaddaşda icra etmək üçün malloc, memmove və memcmp funksiyalarının qeyri-standart kombinasiyasından istifadə ediblər. Bu yanaşma ümumi fidyə proqramlarında istifadə olunan tipik ardıcıl icraetmə axınından fərqlənir və aşkarlanmadan daha effektiv şəkildə yayınmağa imkan verir.

Bundan əlavə, “Ymir” təcavüzkarlara faylları istəyə uyğun şifrələməyə imkan verir ki, bu da onlara vəziyyətə daha çox nəzarət etmək fürsəti yaradır. “Path” əmrindən istifadə edərək təcavüzkarlar fidyə proqramının məlumat axtarmalı olduğu qovluğu təyin edə bilərlər. Fayl ağ siyahıdadırsa, zərərli proqram ondan yan keçəcək və şifrləməyəcək.

Qabaqcıl şifrələmə alqoritmi. Fidyə proqramı yüksək sürət və təhlükəsizliyə malik müasir axın şifrəsi olan “ChaCha20”dən istifadə edir. Onun performansı “Advanced Encryption Standard” (AES) şifrələmə alqoritmindən üstündür.

Təcavüzkarlar məlumat oğurluğu barədə ictimaiyyətə məlumat verməsələr də və ya hər hansı tələb irəli sürməsələr də, ekspertlər hər hansı yeni fəaliyyəti yaxından izləməyə davam edirlər. “İndiyə qədər biz fidyə proqramı ilə hücum edən yeni qrupların meydana çıxdığını görməmişik. Tipik olaraq, təcavüzkarlar qurbanlardan fidyə tələb etmək üçün qaranlıq internetdə forumlarda və ya portallarda məlumat sızması haqqında məlumat dərc edirlər. Lakin “Ymir” məsələsində bu hələ baş verməyib. Buna görə də yeni fidyə proqramının arxasında kimin dayandığı sualı açıq qalır. İnanırıq ki, bu, yeni kampaniya ola bilər”, - deyə Konstantin izah edib.

Kaspersky-nin həlləri yeni proqramı “Trojan-Ransom.Win64.Ymir.gen” olaraq aşkar edir. Təfərrüatlar üçün Securelist xülasəsinə baxa bilərsiniz.

Riskləri azaltmaq üçün Kaspersky mütəxəssisləri tövsiyə edirlər:

məlumatların ehtiyat nüsxəsini müntəzəm surətdə çıxarın və lazım olduqda onlara sürətli girişi təmin etmək üçün müntəzəm yoxlamalar aparın;işçilərə kibertəhdidlərlə bağlı məlumatlılığın artırılması və kibergigiyenanın öyrədilməsi üçün təlimlər keçin;cihazdakı məlumat şifrələnibsə və onun üçün hələ ki, deşifrəçi yoxdursa, vacib şifrələnmiş faylları saxlamalısınız. Daha sonra təhdid araşdırması zamanı şifrənin açılması üçün açar yaradıla bilər;fidyə ödəməyin, çünki bu, zərərli proqramın yaradıcılarını hücumlarını davam etdirməyə təşviq edir. Ödəsəniz belə, məlumatların bərpası üçün heç bir zəmanət yoxdur;effektivliyi mütəmadi olaraq müstəqil sınaqlarla təsdiqlənən etibarlı təhlükəsizlik həllərindən istifadə edin;şirkətlər üçün “Kaspersky Symphony” kimi kibertəhdidlərə qarşı hərtərəfli müdafiədən istifadə edin. Bu məhsul xətti hərtərəfli təhlükənin görünməsini və real vaxt rejimində müdafiəni təmin edir. İstənilən ölçüdə və sənayedə olan təşkilatlar üçün uyğundur, çünki o, biznesin ehtiyaclarından və resurslarından asılı olaraq bir neçə səviyyəli müdafiə təklif edir;

idarə olunan müdafiə üçün Kaspersky Compromise Assessment, Kaspersky Managed Detection and Response və/və ya Kaspersky Incident Response kimi insidentlərin aşkarlanmsından tutmuş aradan qaldırılmasına qədər bütöv cavab dövrünü əhatə edən həllərdən istifadə edin. Onlar gizli kiberhücumlara müqavimət göstərməyə, insidentləri təhlil etməyə və ekspert dəstəyi almağa kömək edəcək.