Το HelloFire ransomware προσποιείται ότι είναι ελεγκτής ασφάλειας

Η νέα απειλή HelloFire ransomware, προσποιείται ότι είναι ελεγκτής ασφάλειας και κλειδώνει τα συστήματα των χρηστών.

Δείτε επίσης: Πάνω από 40 χώρες θα υπογράψουν για να σταματήσουν να πληρώνουν λύτρα σε ransomware συμμορίες

Αυτός ο νέος παίκτης στον κυβερνοχώρο, χρησιμοποιεί απατηλές τακτικές για να μεταμορφώσει τις κακόβουλες προθέσεις του, ως νόμιμες δραστηριότητες δοκιμών διείσδυσης.

Μεταμφίεση ως έλεγχος διείσδυσης

Το “HelloFire” ransomware αποτελεί μια πρόσφατη προσθήκη στον τομέα του κυβερνοεγκλήματος και είναι ξεχωριστο, λόγω της έλλειψης ενός παραδοσιακού ιστότοπου διαρροής ή της συνήθους επωνυμίας των ransomware.

Το σημείωμα λύτρων, υποδεικνύει σαφώς ότι ο απειλητικός παράγοντας προσποιείται να είναι ένας pentester (ελεγκτής ασφάλειας) – μια τακτική που προηγουμένως είχε παρατηρηθεί και σε άλλους κυβερνοεγκληματίες.

Η χρήση συγκεκριμένων domain ηλεκτρονικού ταχυδρομείου στο σημείωμα των λύτρων ωστόσο, όπως το “keemail.me” και το “onionmail.org“, υπονομεύει την αξιοπιστία της επίθεσης ως νόμιμης δοκιμής ασφαλείας. Αυτοί οι τομείς έχουν συσχετιστεί με διάφορους απειλητικούς φορείς από το 2013 και μετά.

Η ShadowStackRE μόλις κοινοποίησε ένα άρθρο σχετικά με την εμφάνιση ενός νέου τοπίου απειλής που ονομάζεται Hellofire Ransomware.

Δείτε ακόμα: Hive ransomware: Αμοιβή 10 εκατομμύρια για πληροφορίες σχετικά με τα μέλη του

Πιθανός Ρωσικός Απειλητικός Παράγοντας

Το σημείωμα του ransomware και η διαδρομή της PDB (Βάση Δεδομένων Προγράμματος) περιέχουν αναφορές στη λέξη “hello” τόσο στα αγγλικά όσο και στα ρωσικά (“Zdravstvuy”), υποδηλώνοντας μια πιθανή ρωσική σύνδεση.

Τα αρχεία που έχουν κρυπτογραφηθεί έχουν την επέκταση “.afire”, και το σημείωμα των λύτρων βρίσκεται σε ένα αρχείο “Restore.txt“.

Το HelloFire ransomware, διαθέτει έναν εκτεταμένο κατάλογο υπηρεσιών, καταλόγων και αρχείων που στοχεύει, υποδηλώνοντας μια καλά τεκμηριωμένη προσέγγιση για τη μέγιστη επίδραση στα μολυσμένα συστήματα.

Το ransomware ξεκινά προμηθευόμενο αναγνωριστικό κρυπτογραφίας και χρησιμοποιεί το Windows API

για να διαχειριστεί τον γεννήτορα τυχαίων αριθμών. Στη συνέχεια, αναστέλλει την ανάκτηση του συστήματος, διαγράφοντας τα shadow copies των Windows, διακόπτοντας μια λίστα υπηρεσιών και προγραμμάτων και αδειάζοντας τον κάδο ανακύκλωσης.

Δημιουργείται ένα νέο νήμα για τη διαχείριση της διαδικασίας κρυπτογράφησης και ανακάλυψης αρχείων, που περιλαμβάνει την απαρίθμηση των οδηγών όγκου και των κοινών αρχείων που συνδέονται με τον στόχο μηχανήματος.

Το HelloFire ransomware, αντιπροσωπεύει μια εξαιρετικά εξελιγμένη και υποδειγματική απειλή που εκμεταλλεύεται την εμφάνιση νόμιμων δοκιμών ασφαλείας για να πραγματοποιήσει τις επιθέσεις του.

Δείτε επίσης: Knight ransomware: Πωλείται ο source code

Ποιες είναι οι πιο επιτυχημένες μέθοδοι προστασίας από ransomware;

Μια από τις πιο επιτυχημένες μεθόδους προστασίας από ransomware, όπως το HelloFire, είναι η εκπαίδευση των χρηστών. Οι χρήστες πρέπει να είναι ενημερωμένοι για τις τεχνικές που χρησιμοποιούν οι επιτιθέμενοι, όπως το phishing, και να γνωρίζουν πώς να αναγνωρίζουν ύποπτα emails και συνδέσμους. Η χρήση ανανεωμένου λογισμικού ασφαλείας είναι επίσης ζωτικής σημασίας. Η δημιουργία και η διατήρηση τακτικών αντιγράφων ασφαλείας των σημαντικών δεδομένων είναι μια άλλη σημαντική μέθοδος προστασίας. Τέλος, η χρήση εργαλείων περιορισμού των δικαιωμάτων πρόσβασης μπορεί να βοηθήσει στην προστασία από το ransomware.

Πηγή: gbhackers