«Касперский зертханасы» жасыру функциялары жетілдірілген бопсалау бағдарламасын анықтады

«Касперский зертханасы» (Kaspersky GERT) киберқауіптерге қарсы жаһандық әрекет ету тобы жәбірленуші ұйымның деректерін анықтау мен шифрлауды айналып өтудің озық тетіктерін пайдаланатын жаңа төлем бағдарламасын тапты. Зиянкес Ymir деп аталды. Сатурнның тұрақты емес серігі осылай аталады. Ол орбитада планетаның айналуына қарама-қарсы бағытта қозғалады. Бұл атау зиянды пайдаланатын жадыны басқару функцияларының стандартты емес қоспасын көрсетеді.

Ymir-ді қалай тапты. «Касперский зертханасының» сарапшылары Колумбиядағы бірнеше кезеңде болған ұйымға жасалған шабуылды талдай отырып, Ymir тапты. Алдымен шабуылдаушылар қызметкерлердің корпоративтік тіркелгі деректерін ұрлау үшін RustyStealer стилерін пайдаланды. Бұл оларға жүйеге қол жеткізуге мүмкіндік берді, содан кейін төлем бағдарламасын жүзеге асыруға жеткілікті ұзақ уақыт бойы бақылауды сақтап қалды.

Шабуылдаушылардың жүйеге еніп, біраз уақыт болған кездегі мінез-құлқы бастапқы қол жеткізу брокерлері деп аталатындарға тән. Әдетте, олар шабуылдаушы жүйеге кіруді басқа шабуылдаушыларға қараңғы желіде сатады. Алайда, бұл жағдайда шабуылдаушылар мұны жасамады және төлем бағдарламасын іске қосты.

«Егер» брокерлер» деп аталатындар және төлем бағдарламасын орналастырғандар бірдей адамдар болса, онда негізгі трендтен ауытқу туралы айтуға болады: шабуылдаушылар қызмет ретінде шифрлауды (RaaS) ұсынатын дәстүрлі топтарға сүйенбестен қосымша бұзу мүмкіндіктеріне ие болды»,-деп түсіндіреді Константин Сапронов,  «Касперский зертханасы» компьютерлік инциденттерге ден қою жөніндегі жаһандық команданың жетекшісі.

Зиянкестер зиянды кодты тікелей жадта орындау үшін malloc, memmove және memcmp функцияларының стандартты емес тіркесімін пайдаланды. Бұл тәсіл жалпы шифрлаушыларда жиі қолданылатын әдеттегі дәйекті орындалу ағынынан ерекшеленеді және анықтаудан тиімдірек аулақ болуға мүмкіндік береді.

Бұдан басқа, Ymir шабуылдаушыларға файлдарды іріктеп шифрлауға мүмкіндік береді, бұл оларға жағдайды бақылауға мүмкіндік береді. Path пәрменін қолдана отырып, шабуылдаушылар төлем бағдарламасы деректерді іздейтін каталогты көрсете алады. Егер файл «ақ тізімде» болса, зиянкес оны өткізіп жібереді және шифрламайды.

Жетілдірілген шифрлау алгоритмі. Төлем бағдарламасы ChaCha20 — жоғары жылдамдықпен және қауіпсіздікпен ерекшеленетін заманауи ағындық шифрды пайдаланады. Сипаттамалары бойынша ол Advanced Encryption Standard (AES) шифрлау алгоритмінен асып түседі.

Қаскүнемдер деректерді ұрлау туралы көпшілік алдында хабарламаса да, ешқандай талап қоймаса да, сарапшылар олардың кез-келген жаңа әрекетін мұқият қадағалайды. «Әзірге біз шифрлаушылардың көмегімен шабуыл жасайтын жаңа топтардың пайда болғанын байқамадық. Әдетте, шабуылдаушылар жәбірленушілерден төлем талап ету үшін форумдарда немесе Darknet порталдарында деректердің бұзылуы туралы ақпаратты жариялайды. Бірақ Ymir жағдайында бұл әлі болған жоқ. Сондықтан жаңа шифрлаушы бағдарламаның артында кім тұр деген сұрақ ашық күйінде қалып отыр. Біз бұл жаңа науқан болуы мүмкін деп ойлаймыз», — деп түсіндіреді Константин.

Компанияның шешімдері жаңа бағдарламаны Trojan-Ransom.Win64.Ymir.gen деп анықтайды. Толығырақ — Securelist веб-сайтындағы шолуда.

Тәуекелдерді азайту үшін Касперский зертханасының мамандары мыналарды ұсынады:

деректердің сақтық көшірмесін үнемі жасау және жүйелі түрде тестілеу — қажет болған жағдайда оларға тез қол жеткізуге болатындығына көз жеткізу;

киберқауіптер туралы хабардарлықты арттыру және кибергигиенаны үйрету үшін қызметкерлерге тренингтер өткізу;

егер құрылғыдағы деректер шифрланған болса және ол үшін шифрды шешуші болмаса, маңызды шифрланған файлдарды сақтау керек. Кейінірек, қауіпті зерттеу барысында шифрды шешудің кілті жасалуы мүмкін;

төлем жасамаңыз, өйткені бұл зиянды бағдарламаны жасаушыларды шабуылдарды жалғастыруға шақырады. Бұл ретте деректерді қалпына келтіруге кепілдік жоқ;

тиімділігі тәуелсіз сынақтармен үнемі расталатын сенімді қорғаныс шешімдерін қолданыңыз;

Kaspersky Symphony сияқты компанияларды киберқауіптерден кешенді қорғауды қолданыңыз. Бұл өнім желісі қауіптердің жан-жақты көрінуін және нақты уақыт режимінде қорғауды қамтамасыз етеді. Ол кез-келген көлемдегі және саладағы ұйымдар үшін жарамды, өйткені ол бизнестің қажеттіліктері мен ресурстарына байланысты бірнеше қорғаныс деңгейлерін ұсынады;

Kaspersky Compromise Assessment, Kaspersky Managed Detection and Response және/немесе Kaspersky Incident Response сияқты басқарылатын қорғаныс шешімдерін қолданыңыз, олар қауіп — қатерді анықтаудан бастап оларды жоюға дейінгі барлық оқиғаларға жауап беру циклін қамтиды. Олар жасырын кибершабуылдарға қарсы тұруға, оқиғаларды талдауға және сарапшылардың қолдауына ие болуға көмектеседі.