Ένα νέο ransomware με το όνομα JKwerlo φέρεται να στοχεύει ανυποψίαστα θύματα στη Γαλλία και την Ισπανία.
Η Cyble Research & Intelligence Labs (CRIL) δημοσίευσε μια έκθεση σχετικά με αυτό το νέο ransomware, παρέχοντας λεπτομέρειες για τις επιθέσεις, την προέλευση, τις τακτικές και τις πιθανές επιπτώσεις στα θύματα.
Σύμφωνα με την έκθεση, το JKwerlo ransomware βασίζεται στη γλώσσα προγραμματισμού Go και στοχεύει Γάλλους και Ισπανούς, στα πλαίσια καλά σχεδιασμένων επιθέσεων.
Δείτε επίσης: Η ransomware ομάδα LockBit λέει ότι επιτέθηκε στην Κομητεία Fulton
Η επίθεση ξεκινά με τη διανομή αρχείων HTML μέσω κακόβουλων emails. Οι επιτιθέμενοι προσπαθούν να πείσουν τα θύματα να εμπλακούν με κακόβουλο περιεχόμενο υπό το πρόσχημα νομικών ειδοποιήσεων ή κρίσιμων πληροφοριών.
Σύμφωνα με τους ερευνητές οι hackers πίσω από το JKwerlo Ransomware συνδυάζουν social engineering και άλλες τεχνικές ικανότητες για να μολύνουν τα συστήματα των θυμάτων με το κακόβουλο λογισμικό.
Με την ενσωμάτωση αρχείων zip σε αρχεία HTML, οι επιτιθέμενοι ενορχηστρώνουν μια σειρά περίπλοκων διεισδύσεων στα συστήματα του θύματος, αποφεύγοντας τον εντοπισμό και εκτελώντας κακόβουλα payloads.
Επιπλέον, η χρήση PowerShell commands από το ransomware επιτρέπει την απενεργοποίηση κρίσιμων βοηθητικών προγραμμάτων του συστήματος και το lateral movement εντός του δικτύου.
Η αλυσίδα μόλυνσης του JKwerlo ξεδιπλώνεται διαφορετικά για τους στόχους στη Γαλλία και την Ισπανία. Αυτό δείχνει την προσαρμοστικότητα, την ευελιξία και την εξατομίκευση των εκστρατειών διανομής του ransomware.
Δείτε επίσης: Η TNPI ερευνά την επίθεση ransomware της ALPHV
Στις επιθέσεις εναντίον των Ισπανών, το ransomware payload εκτελείται απευθείας κατά την αλληλεπίδραση με το αρχείο HTML, ενώ στη γαλλική καμπάνια εισάγονται πρόσθετα επίπεδα, με τη χρήση PowerShell scripts και συνδέσμων Dropbox για την απόκρυψη των κακόβουλων δραστηριοτήτων.
Τεχνικές πληροφορίες για το JKwerlo Ransomware
Η αρχιτεκτονική του ransomware που βασίζεται στη γλώσσα Go και οι κωδικοποιημένες εντολές PowerShell καθιστούν την ανάλυση και τον εντοπισμό του κακόβουλου λογισμικού δύσκολη.
Η χρήση τεχνικών για lateral movement, όπως τα PsExec και Rubeus, υπογραμμίζει την ικανότητα του ransomware να εξαπλώνεται στα δίκτυα και να προκαλεί μεγαλύτερη ζημιά.
Επίσης, με την εκμετάλλευση νόμιμων υπηρεσιών όπως το Dropbox και το GitHub, το ransomware αποφεύγει τα παραδοσιακά μέτρα ασφαλείας.
Τέλος, οι αλγόριθμοι κρυπτογράφησης του JKwerlo και τα σημειώματα λύτρων συμβάλλουν στην καταστροφή, προκαλώντας απώλεια δεδομένων και οικονομικές επιπτώσεις για τα θύματα.
Ωστόσο, μέσω της σχολαστικής εξέτασης των hex strings και των μοτίβων εκτέλεσης εντολών, οι ερευνητές μπορούν να βρουν τις λειτουργίες του ransomware και να επινοήσουν στρατηγικές μετριασμού.
Δείτε επίσης: Το BrightTALK ξεκίνησε, με την ετοιμότητα για επιθέσεις ransomware
Ποιες είναι οι καλύτερες πρακτικές για την πρόληψη των επιθέσεων ransomware;
- Η εκπαίδευση είναι ζωτικής σημασίας, καθώς οι επιθέσεις ransomware συχνά αρχίζουν με την εξαπάτηση των χρηστών, ώστε να ανοίξουν κακόβουλα συνημμένα ή συνδέσμους.
- Η ενημέρωση συσκευών, εφαρμογών και λογισμικών ενισχύει την ασφάλεια, αφού διορθώνει πιθανές ευπάθειες που μπορούν να χρησιμοποιήσουν οι hackers.
- Η εφαρμογή ενημερωμένου λογισμικού ασφαλείας που περιλαμβάνει προστασία από ransomware μπορεί να αποτρέψει την εγκατάσταση του κακόβουλου λογισμικού.
- Η τακτική δημιουργία αντιγράφων ασφαλείας των σημαντικών δεδομένων και η αποθήκευσή τους σε ασφαλή τοποθεσία μπορεί να προστατεύσει τα δεδομένα σας από την απώλεια.
- Η απενεργοποίηση των μακροεντολών στα έγγραφα Office και άλλες εφαρμογές μπορεί να εμποδίσει την εκτέλεση των επιθέσεων ransomware JKwerlo.
- Η περιορισμένη πρόσβαση στα δίκτυα και τα συστήματα μπορεί να μειώσει την έκταση της ζημιάς που μπορεί να προκαλέσει μια επίθεση ransomware.
- Η χρήση εργαλείων παρακολούθησης δικτύου για την ανίχνευση ασυνήθιστης δραστηριότητας μπορεί να βοηθήσει στην ανίχνευση και την αντιμετώπιση των επιθέσεων ransomware σε πρώιμο στάδιο.
Πηγή: thecyberexpress.com