Tot ce trebuie să știți despre Ransomware fără filă

Piața ransomware-ului a evoluat. O noua rasa de agenti malitiosi a sosit. Este marcat de furt și a făcut victime în multe companii de telecomunicații, agenții guvernamentale și instituții bancare etc. Aceste atacuri au determinat departamentele IT din companii din întreaga lume să rămână în alertă. Avertizări detaliate au fost transmise lucrătorilor pentru a nu deschide atașamente de e-mail nesigurate și pentru a evita vizitarea site-urilor web suspecte și aplicațiile terților. Cunoscute tehnic ca ransomware fără filă sau fără malware, aceste instrumente reprezintă o amenințare majoră. Ei folosesc limbajul de scripturi PowerShell de Microsoft pentru organizații care vizează organizații care utilizează documente și / sau aplicații care rulează prin macro-uri.


Tot ce trebuie să știți despre Ransomware fără filă

Tot ce trebuie să știți despre Ransomware fără filă

Ce este PowerShell?

Un limbaj de programare orientat către automatizarea sarcinilor, PowerShell este utilizat în MS OS împreună cu peste 100 de instrumente pentru linia de comandă.

Ce face Ransomware fără filă cu PowerShell?

Ransomware folosește scripturi sau macro-uri bazate pe PowerShell pentru criptarea fișierelor. Acest lucru este diferit de ransomware-ul tradițional care a efectuat criptarea fișierelor bazate pe date.

O imagine de ansamblu a atacurilor fără filă

Printre cele mai mari hacks din istorie a fost săvârșit fără filă. În 2016, cineva a furat câteva documente de la Comitetul Național Democrat (DNC), care au fost apoi eliberate pentru influențarea alegerilor prezidențiale din acel an. Acest lucru s-a realizat prin e-mailuri de tip phishing cu link-uri compromise care au fost livrate lucrătorilor DNC. După ce a fost dat clic, atacul a început să funcționeze prin PowerShell și WMI.

Potrivit lui Charles Gaughf, Security Lead cu (ISC) ², un NPO de securitate online, atacurile fără filă sunt găzduite în general de link-uri de phishing și site-uri web drive-by.

Un alt atac cu mijloace fără filă a lovit peste 140 de bănci și organizații financiare din mai mult de 40 de țări la începutul lui 2017. Atacatorul a intrat în sistem folosind un server care nu a fost distribuit.

Apoi a încărcat un cod compromițător în memorie folosind scripturile PowerShell și Windows Registry.

Mai mult, atacatorii au obținut controlul sistemelor folosind utilități standard ale sistemului care au cuprins utilități de linii de comandă precum NETSH și SC.

Acest acces la distanță le-a permis să stabilească malware ATMitch rezident în memorie. Acest lucru s-a făcut pe bancomatele cărora li s-a poruncit apoi să-și elimine banii. Atacatorii au luat acest numerar și au plecat. Întrucât nu existau fișiere pe niciun sistem, detectarea încălcării a fost foarte dificilă.

Cele două modalități majore de sisteme infiltrate Ransomware fără filă

Folosind atacuri de tip phishing generate prin e-mailuri, un atacator poate scrie macros în memoria sistemului. Acest lucru duce la cereri de răscumpărare generate automat și criptarea datelor.

A doua cale este prin site-uri web nesigure la care este accesat un lucrător. Aceasta permite atacatorilor să țintească memoria RAM prin intermediul scripturilor. Acest lucru le permite să obțină acces la informații și să solicite plăți pentru criptomonede. În caz contrar, datele lor vor fi criptate și inutile.

Tipuri de atacuri fără filă

Există patru tipuri de ransomware fără filă, pe care trebuie să le cunoașteți:

  • Atacuri exclusiv de memorie: Aceste atacuri accesează amintirile serviciului Windows pentru a le răspândi. Au ajuns pe piață încă din 2001. Cu toate acestea, pot fi rezolvate prin repornirea sistemului.
  • Tehnici de persistență fără filă: Astfel de atacuri nu pot fi eliminate printr-o simplă repornire, chiar dacă hard disk-ul nu este infectat. Acest lucru se face folosind Windows Registry pentru a stoca scripturi infecțioase, care reluează infecția chiar și după o repornire.
  • Instrumente cu dublă utilizare: Astfel de atacuri sunt efectuate prin infectarea aplicațiilor de sistem Windows. Aceasta se face pentru a avea acces la sistemele țintă sau pentru a transfera date către atacatori.
  • Atacuri de fișiere executabile (PE) neportabile: Astfel de atacuri folosesc atât instrumente cât și scripturi pentru a-și produce impactul prin PowerShell, CScript sau WScript.

De ce este Ransomware atât de popular?

Ransomware este ușor de utilizat. De obicei, companiile nu se gândesc de două ori înainte de a plăti o răscumpărare decât de a risca pierderi de date sau de a obține o publicitate proastă. Creșterea criptomonedelor a sporit, de asemenea, viabilitatea ransomware-ului. Metodele anonime de plată permit hackerilor să aibă mijloace greu de urmărit pentru a extrage bani de la victimele lor. În același timp, transferurile de criptomonedă nu pot fi inversate și, prin urmare, sunt eficiente și sigure.

Ceea ce face unic Ransomware unic?

Ransomware-ul fără filă este unic, deoarece este greu de detectat. Acest lucru se datorează faptului că limbajul de script nativ sau memoria RAM sunt injectate cu codul infecțios. Acest lucru îl permite să se ascundă în memorie și să execute comenzi de acolo.

Ce atacă Ransomware-ul fără filă atacă împotriva atacurilor?

  1. Ransomware-urile fără filă sunt în mod efectiv de urmărit chiar și cu antivirusuri de calitate comercială.
  2. Aceste atacuri lasă sistemul tău larg deschis pentru a putea exploata ciberneticii. Ei pot face tot felul de lucruri cu rețeaua sau dispozitivul tău odată ce îl hack, inclusiv furtul / criptarea datelor fără a fi detectat.
  3. De asemenea, ei deschid dispozitivul compromis la mai multe atacuri. Acest lucru se datorează faptului că atacatorul poate scrie scripturi în timp ce derivă informații de pe dispozitivul compromis.

Protejându-vă de Ransomware-ul fără filă

În ciuda ransomware-ului fără filă să fie efectiv nedetectabil de software-ul antivirus obișnuit, există o serie de lucruri pe care le puteți face pentru a le preveni. Primul lucru de făcut este să vă asigurați că datele dvs. critice nu sunt accesate de nimeni. Al doilea lucru este să vă asigurați că vulnerabilitatea dvs. prin eroare umană nu este expusă.

Aceasta înseamnă că angajații dvs. trebuie să știe despre inginerie socială și cum pot preveni acest lucru. Bineînțeles, veți avea nevoie și de un sistem actualizat care să aibă toate patch-urile de securitate recente. Mai sunt câteva sfaturi și sugestii date mai jos pentru a vă îmbunătăți securitatea împotriva ransomware-ului fără filă:

Mai multe sfaturi

  • Asigurați-vă că datele dvs. sunt rezervate: A rămâne protejat înseamnă a fi atent la atacuri. Ar trebui să vă asigurați că cineva urmărește datele dvs. și păstrează fișierele critice protejate. Acest lucru vă va permite să dezarmați astfel de atacuri accesând un punct de restaurare care nu este afectat de încălcare.
  • Rămâneți vigilent: Dezactivați toate macro-urile. În caz contrar, abțineți-vă să deschideți fișiere de care nu sunteți sigur. În cazul în care aveți îndoieli, ar trebui să luați legătura cu administratorul IT.
  • Opriți e-mailurile dăunătoare, pagini web și interacțiune prin browsere și servere. Ar trebui să urmați prudența atunci când aveți de-a face cu un e-mail potențial răuvoitor. Pur și simplu blocați orice lucru care nu pare a fi autentic sau are chiar și cea mai mică senzație de umbră.  

Cu doar puțină precauție, puteți rămâne protejat de tot felul de ransomware – obișnuit sau fără fișiere.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map