Μια σχετικά νέα μορφή επίθεσης ransomware γίνεται όλο και πιο δημοφιλής, με τους κυβερνοεγκληματίες να αξιοποιούν εικόνες JPG. Στόχος των hackers είναι να εξαπολύσουν επιθέσεις που αποφεύγουν τα παραδοσιακά λογισμικά προστασίας, σύμφωνα με πρόσφατες έρευνες στον τομέα της κυβερνοασφάλειας.
Οι hackers εισάγουν κακόβουλο κώδικα μέσα σε εικόνες JPG, παρακάμπτοντας τα κλασικά antivirus. Όταν ο χρήστης ανοίξει την μολυσμένη εικόνα, ενεργοποιείται ένα κρυφό loader που πυροδοτεί μια πολύπλοκη επίθεση τριών σταδίων:
- Στάδιο 1: Η εικόνα περιέχει ένα συγκαλυμμένο payload που ξεκινά ένα “stager” script.
- Στάδιο 2: Το stager επικοινωνεί με έναν απομακρυσμένο διακομιστή για τη λήψη του εκτελέσιμου ransomware.
- Στάδιο 3: Το ransomware κρυπτογραφεί τα αρχεία του θύματος, απαιτώντας πληρωμή.
Δείτε επίσης: Το νέο Mamona ransomware στοχεύει Windows συστήματα
Οι επιτιθέμενοι συνδυάζουν την εικόνα JPG με ένα άλλο δόλιο έγγραφο, όπως PDF ή Word, το οποίο αποστέλλεται μαζί ώστε να ενισχυθεί η πιθανότητα εξαπάτησης του θύματος. Αυτός ο συνδυασμός δυσκολεύει σημαντικά τον εντοπισμό από τα συστήματα ασφαλείας.
Τι καθιστά αυτή την επίθεση τόσο επικίνδυνη:
- Μηδενικός εντοπισμός: Η επίθεση βασίζεται σε εξελιγμένες τεχνικές απόκρυψης και κρυπτογράφησης που την καθιστούν αόρατη σε σχεδόν όλα τα συμβατικά προγράμματα προστασίας.
- Κατάχρηση εμπιστοσύνης μέσω Social Engineering: Οι εικόνες και τα κείμενα θεωρούνται «αθώα», γεγονός που διευκολύνει την εξαπάτηση των θυμάτων.
- Απλές διαδικασίες με υψηλό αντίκτυπο: Αρκούν δύο αρχεία για να εξαπολυθεί μια ισχυρή κυβερνοεπίθεση.
Δείτε επίσης: Ransomware ομάδες καταχρώνται το νόμιμο λογισμικό Kickidler
Ένας από τους ειδικούς (Aux Grep) που ανέλαβε την τεχνική ανάλυση αυτής της ευπάθειας χαρακτήρισε την τεχνική ως «0-day-grade technique with 60% completion», υπονοώντας ότι ενδέχεται να δούμε στο μέλλον ακόμη πιο εξελιγμένες και επικίνδυνες εκδοχές της.
Εταιρείες που δραστηριοποιούνται στην κυβερνοασφάλεια προσπαθούν ήδη να προσαρμόσουν τις μεθόδους ανίχνευσης για να ανταποκριθούν στη νέα απειλή. Η Jane Harper, αναλύτρια απειλών στη SentinelOne, δήλωσε πως: «Αυτού του τύπου η επίθεση βασίζεται στην αφελή εμπιστοσύνη των χρηστών προς τα κοινά, καθημερινά αρχεία. Οι οργανισμοί χρειάζεται να μεταβούν σε τεχνολογίες που παρακολουθούν τη συμπεριφορά των αρχείων, γιατί τα παραδοσιακά antivirus που βασίζονται σε υπογραφές πλέον δεν επαρκούν».
Παράλληλα, το FBI εξέδωσε προειδοποίηση προς τις επιχειρήσεις, καλώντας τις να:
- Εκπαιδεύσουν το προσωπικό ώστε να μην ανοίγει συνημμένα, ακόμα και από γνωστούς αποστολείς, αν υπάρχει υποψία.
- Ενσωματώσουν λύσεις ασφαλείας που παρακολουθούν σε πραγματικό χρόνο την αλληλεπίδραση των χρηστών με τα αρχεία.
- Τμηματοποιήσουν τα εταιρικά δίκτυα, ώστε να περιοριστεί η εξάπλωση του ransomware σε περίπτωση παραβίασης.
Δείτε επίσης: Η Play ransomware εκμεταλλεύεται ελάττωμα Windows σε επιθέσεις zero-day
Συστάσεις για ατομική προστασία:
- Μείνετε ενημερωμένοι για τις τελευταίες τάσεις και τακτικές ransomware που χρησιμοποιούν οι εισβολείς
- Εφαρμόστε έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) για όλους τους λογαριασμούς χρηστών
- Ενεργοποιήστε firewall σε όλες τις συσκευές που είναι συνδεδεμένες στο δίκτυό σας
- Διατηρήστε τα ευαίσθητα δεδομένα κρυπτογραφημένα
- Ενημερώστε όλες τις συσκευές και τα συστήματά σας με τις πιο πρόσφατες ενημερώσεις ασφαλείας
- Διεξάγετε τακτικούς ελέγχους ασφαλείας και penetration testing
- Χρησιμοποιήστε ισχυρούς, μοναδικούς κωδικούς πρόσβασης και αλλάξτε τους τακτικά
- Περιορίστε την πρόσβαση των χρηστών μόνο σε απαραίτητα συστήματα και πληροφορίες
- Εξετάστε το ενδεχόμενο χρήσης λύσεων ασφαλείας email για πρόσθετη προστασία από επιθέσεις phishing
- Έχετε ένα σχέδιο ανάκαμψης για γρήγορη αποκατάσταση των συστημάτων σε περίπτωση επίθεσης
- Ενεργοποιήστε την εμφάνιση των επεκτάσεων αρχείων
- Επενδύστε σε λύσεις προηγμένης προστασίας
- Χρησιμοποιήστε sandbox για τα συνημμένα email
- Διατηρείτε αντίγραφα ασφαλείας των δεδομένων σας
Πηγή: gbhackers.com
