מהי GoldenEye Ransomware וכיצד ניתן להתגונן מפניה?
לתוכנת הכופר GoldenEye היו חיים קצרים, והיא פעלה רק בדצמבר 2016. כתוצאה מכך, וירוס הכופר הזה אינו מוכר במיוחד. עם זאת, זוהי גרסה של קבוצת תוכנות כופר ידועה מאוד בשם פטיה
ה-Petya המקורי צץ במרץ 2016. הוא עבר ארבע גרסאות ברצף מהיר, ו-GoldenEye הייתה האחרונה שבהן. מקור תוכנת הכופר של Petya ברוסיה, וגרסת GoldenEye ממוקדת במיוחד עסקים גרמניים .
מה מייחד את GoldenEye?
תוכנת הכופר GoldenEye היא שילוב של שתי אסטרטגיות התקפה. ראשית, שני וירוסים יורדים יחד. אלה נקראים מישה ו פטיה . שנית, כמו כל תוכנות כופר, וירוסים אלה מצפינים נתונים ואז דורשים תשלום כדי לקבל את מפתח הפענוח.
Petya הייתה פורצת דרך באותה תקופה מכיוון שהיא לא מצפינה קבצים; הוא מצפין את מערכת הקבצים. אסטרטגיה זו עושה הצפנה בלתי אפשרי לעקוף .
הבעלים שלהם לא פותחים בהתקפות Petya ו-GoldenEye. במקום זאת, מערכות אלו זמינות לאחרים ב-a תוכנת כופר כשירות פוּרמָט. אז, ההתקפות הממוקדות הרבות היו בפיקודו של אנשים רבים ושונים.
Petya שוחרר לראשונה עבור בסיס לקוחות מוגבל בגרסת בטא. זה נקרא פטיה אדומה כי הלוגו ושטר הכופר שלה הופיעו על רקע אדום. לרוע המזל, Petya לא הצליח כל כך מכיוון שדרשו הרשאות מנהל כדי לרדת למערכת ההפעלה ולבצע את ההצפנה שלה.
כשהמערכת נכנסה לשחרור כללי, המפתחים שיפרו את העיצוב ושינו את נושא הצבע שלה, והפכו אותו פטיה ירוקה . לרוע המזל, גרסה זו הציגה את Mischa, שפועלת כמו תוקף מסורתי של תוכנות כופר על ידי הצפנת קבצים. מערכת Petya ניסתה כעת את ההתקפה ברמה הנמוכה שלה, ואם היא לא הצליחה להשיג את רמת ה-Administrator, היא השיקה את Mischa.
מהדורת ביניים, גרסה 2.5, מתקנת באגים בתוכנת הכופר. זה עדיין רץ בתור פטיה ירוקה. בתור הגרסה הרביעית של Petya, מהדורה 3.0, GoldenEye הייתה המערכת המשוכללת. GoldenEye משיקה גם את Mischa וגם את Petya, כאשר מישה רץ ראשון. אז, זה א הצפנה כפולה מערכת. מסמן את השינוי מפטיה הירוקה, הלבוש של GoldenEye הוא צהוב ושחור.
מאיפה מגיעה תוכנת כופר GoldenEye?
היוצרים של GoldenEye נקראים יאנוס פתרונות פשעי סייבר . זו לא אחת מקבוצות ההאקרים הגדולות בחסות המדינה. עם זאת, רמזים בדימויים, במיתוג ובמוסכמות השמות שלו מצביעים על ההוויה הקבוצתית מבוסס ברוסיה .
Janus Cybercrime Solutions ניהלה חשבון טוויטר תחת השם מזכיר יאנוס . החשבון היה פעיל במהלך 2016 ו-2017, אך לא היו פוסטים אחרונים בפרופיל.
מה המשמעות של GoldenEye?
אם אתה חובב בונד, כנראה שראית את הסרט עין זהובה . זוהי ההשראה לשם של תוכנת הכופר GoldenEye. קבוצת ההאקרים עצמה לוקחת את שמה גם מהסרט.
ב-GoldenEye, ארגון פשע רוסי בשם סינדיקט יאנוס מנצל את הכאוס במהלך קריסת ברית המועצות על ידי פריצה למערכת הבקרה של שני לוויינים סובייטים. הלוויינים האלה נקראים Petya ומישה. לאחר מכן, הם משגרים נשק דופק אלקטרומגנטי בשם GoldenEye.
קבוצת ההאקרים הרוסית לקחה את שמו של יאנוס והשתמשה בשם של אחד הלוויינים, פטיה , על תוכנת הכופר שלה. כשהם היו צריכים שם אחר לוירוס השני שלהם, מישה היה זמין. עם זאת, היו רק שני לוויינים בסרט, אז כשההאקרים חיפשו שם שלישי, הם פנו לשם הסרט.
העובדה שההאקרים מזדהים כל כך עם ארגון הפשע הבדיוני הזה מעידה על כך שהם רוסים.
ממשיכים של GoldenEye
התהילה של סדרת Petya של תוכנות הכופר נובעת מפעולותיהם של האקרים אחרים לאחר ש-Janus Cybercrime Solutions הפסיקו את שירות ה-RaaS שלהם בסוף 2016. כמה קבוצות האקרים אחרות גירדו את הקוד עבור תוכנת הכופר GoldenEye ושילבו אותו בתוכנת הכופר שלהם. לפטיה היה מוניטין טוב בגלל האסטרטגיה פורצת הדרך שלו. אז היו לזה חקיינים.
העתקטים הבולטים של תוכנת הכופר GoldenEye ושל Petya המקורית הם:
- PetrWrap – נגזרת של Green Petya המשתמשת במנגנון הפריצה שלה.
- סנטנה – מערכת עם כל הסממנים של גרסת בדיקה ועותק של GoldenEye.
- Petya+ – זהו חיקוי של Petya ולא העתקה. הוא נועל את המסך ומעלה דרישת כופר, ובראשם השם Petya אבל לא מבצע שום הצפנה.
- לא פטיה – זוהי הגרסה ההרסנית ביותר של Petya שהפכה את כל הסדרה למפורסמת. קבוצת ההאקרים של תולעי חול כתבה זאת בוועדה של ה-GRU - שירות הביון הצבאי של רוסיה. תוכנת כופר זו ידועה גם בשם נצח פטיה ו Expetr .
למרות שאף אחת מהגרסאות של Petya לא שימשה למטרות טובות, NotPetya היא המקור האמין להאשמות על מערכת Petya. תוכנת הכופר הזו אינה באמת חלק ממחזור Petya, כמו תוכנת הכופר GoldenEye.
מערכת NotPetya זוהתה כ נשק שימש את ממשלת רוסיה ביוני 2017 כדי להיחלש באופן רציני אוקראינה ולסייע לבדלני דונבאס להשיג את ידם העליונה במאבקם לעצמאות.
בעוד ש-80 אחוז מכלל התקפות NotPetya התרחשו באוקראינה, עסקים במדינות אחרות נפגעו גם כן. למרות דמיון עם GoldenEye, NotPetya אינה, למעשה, תוכנת כופר. זה פשוט מחליף את רשומת האתחול הראשית, ואין לו מנגנון להחזיר את הנזק הזה - הוא כן מגב .
כיצד פועלת תוכנת הכופר GoldenEye?
לגולדן איי היה חיים קצרים מאוד . ההתקפות הראשונות שלה הושקו ב-5 בדצמבר 2016, והקמפיין שלה לא נמשך את השנה. בעוד שכל הגרסאות הקודמות של Petya התקשרו באנגלית, GoldenEye כתבה למטרות ב גרמנית מושלמת . זו הייתה מהדורה מותאמת אישית של מערכת שהוצעה כמערכת Ransomware-as-a-Service. באופן מוזר, קבוצת יאנוס צריכה לבחור רק לכוון לגרמניה. זה אפשרי שגולדן איי היה בנוי בהתאמה אישית עבור לקוח מרכזי של פלטפורמת Petya RaaS.
שגרת הפלישה של מתקפת GoldenEye התחילה במחקר. כל יעד היה עסק המפרסם משרה פנויה. דוא'ל המיקוד נשלח בתגובה למודעה, כך ש-GoldenEye לא שימשה למשלוחי דואר בכמות גדולה. המיילים תמיד הגיעו משם רולף דרשר . זו הייתה חפירה אצל חברת ייעוץ גרמנית לאבטחת סייבר דיפל.- Ing. Rolf B. Drescher VDI & Partner שהציע שירותי הפחתת Petya.
למייל שנשלח ליעדים היו שני קבצים מצורפים - קורות חיים בפורמט PDF וקובץ XLS. ה קובץ XLS מכיל את המתקין עבור GoldenEye מיושם כפקודות מאקרו, שיופעלו כאשר הקובץ ייפתח.
פקודות המאקרו פתחו חיבור לשרת מרוחק, הורידו את הקוד עבור מישה , ולאחר מכן ביצע אותו. לאחר מכן המותקן העתיק והפעיל את הרמה הנמוכה קוד petya . GoldenEye שיכללה את Petya והתגברה על החסימה במערכות שהסירו את הדרישה לחשבון המשתמש לקבל זכויות מנהל כדי לרדת למערכת ההפעלה.
עם ההפעלה, GoldenEye קרס את המחשב והפעיל אותו מחדש. לאחר מכן הוצג המשתמש CHKDSK מזויף מסך, שנכתב באנגלית. זה הראה סרגל התקדמות, לכאורה כדי להראות את התקדמות ההמחאה. עם זאת, זה הוביל את תהליך ההצפנה.
GoldenEye ניצלה פרצה במערכת ההפעלה Windows כדי להחליף את רשומת האתחול הראשית (MBR), להשבית את אפשרות האתחול במצב בטוח ולאחר מכן להצפין את טבלת הקבצים הראשית (MFT). מערכת GoldenEye משתמשת RSA ו AES צפני הצפנה עבור שלב Mischa שלה ו סלסה 20 הצפנה עבור תהליכי Petya שלה.
כאשר תהליך ההצפנה של MFT מסתיים, המחשב מציג את הלוגו של GoldenEye, גולגולת ועצמות צולבות המורכבות מתווי טקסט. לאחר מכן, תוכנת הכופר הראתה את הוראות הכופר שלה.
כדי להתאושש מהתקיפה זו, המשתמש קיבל הוראה להתקין את דפדפן Tor , גלשו לאתר ספציפי והזן מזהה ייחודי. אתר זה נתן לקורבן הנחיות כיצד לשלם את הכופר ביטקוין . לאחר ביצוע התשלום, ניתן למשתמש מפתח פענוח עבור הארונית MFT וכלי עזר לפענוח כדי להפוך את ההצפנה של Mischa.
שלא כמו מערכות כופר מסוימות, שגרת הפענוח עבדה היטב, והמטרות ששילמו את הכופר הצליחו להתאושש במלואה.
הכלים הטובים ביותר להגנה מפני תוכנת כופר GoldenEye
ההגנה הטובה ביותר מפני תוכנת הכופר GoldenEye היא לחנך את המשתמשים נגד פתיחת קבצים מצורפים או מעקב אחר קישורים באימיילים. אתה גם צריך לגבות באופן קבוע כל המכשירים במערכת שלך בנפרד כדי למנוע וירוס להדביק את קבצי הגיבוי של כל המערכת שלך בהעלאה מנקודת קצה אחת.
ישנם כמה כלים מצוינים זמינים להגנה מפני GoldenEye וכל שאר התקפות תוכנות הכופר. הנה שלושה.
1. CrowdStrike Falcon Insight (ניסיון חינם)
CrowdStrike Falcon Insight היא מערכת זיהוי ותגובה של נקודות קצה הכוללת מודולי תושב בכל נקודת קצה בתוספת מודול מבוסס ענן. בעוד שמודול נקודות הקצה מספקים הגנה מתמדת לכל מכשיר, שירות הענן שומר על כל המאמצים מתואמים ומספק את כוח העיבוד לכל המערכת.
הכלי הזה מושלם להגנה מפני תוכנת כופר GoldenEye וכל תוכנות זדוניות אחרות מכיוון שיש ל-CrowdStrike צוות מחקר שמזהה תוכנות זדוניות חדשות במהירות ועוקבת אחר התפתחותן.
סוכן המכשיר זמין גם כשירות אנטי וירוס עצמאי מהדור הבא. זה נקרא CrowdStrike Falcon Prevent . על ידי ניטור כל ההתקנות של Falcon Prevent, מערכת Falcon Insight יכולה לעקוב במהירות אחרי כל הפעילות בכל המערכת.
שירות Falcon Insight חולק מודיעין תקיפה בין כל לקוחות המערכת. זה אומר שברגע שלקוח אחד חווה התקפה מ תוכנה זדונית חדשה , כל המופעים של הלקוחות האחרים מקבלים הודעה. לא ניתן לתכנן תבניות תוכנות זדוניות, כגון תוכנות כופר, מכיוון שתמיד יהיו גרסאות חדשות. העבודה הקריטית היא לזהות פעילות חריגה ולחסום את המכשיר כדי למנוע את התפשטות הזיהום. זה ' תְגוּבָה 'חלק ממערכת Insight.
אתה יכול לקבל א15 יום ניסיון חינםשל Falcon Prevent.
CrowdStrike Falcon Insight התחל 15 יום ניסיון בחינם
שתיים. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus מתמקד בניטור שלמות הקבצים. זוהי מערכת מצוינת לבחור אם אתה עוקב אחר תקן אבטחת פרטיות נתונים, כגון PCI DSS , HIPAA , או GDPR . זוהי גם מערכת מתאימה מאוד להגנה מפני תוכנות כופר GoldenEye ותוכנות זדוניות אחרות שנוגעות בקבצים.
זוהי תוכנה מקומית המתמקדת בהגנה על Windows, היעד העיקרי של תוכנת הכופר GoldenEye. התוכנה עבור שירות זה פועלת על Windows Server .
מערכת DataSecurity Plus עוקב אחר כל פעילות הקבצים . אתה יכול לבחור כיצד המערכת תגיב כאשר היא מזהה שינויים לא מורשים בקבצים. זה ישלח התראה להודיע לך על פעילות חריגה. ובכל זאת, אתה יכול גם לציין תגובות אוטומטיות, כגון ניתוק המכשיר מהרשת, כיבוי או ניתוק המשתמש.
ManageEngine DataSecurity Plus זמין עבור א 30 יום ניסיון חינם .
3. BitDefender GravityZone
BitDefender GravityZone מציע נקודות הגנה רבות מפני תוכנת הכופר GoldenEye וסוגים אחרים של תוכנות זדוניות. זוהי חבילת אבטחה מלאה המגנה על נקודות קצה ורשתות וסורקת וירוסים בכל מקום.
GravityZone כולל מערכת ניהול גיבוי כמו גם נקודת קצה אנטי וירוס הֲגָנָה. המשמעות היא שתוכנת כופר מזוהה ברגע שהיא יורדת לנקודת קצה, אך אם, בעתיד, תוכנת כופר חדשה תוכל לעקוף בדיקות AV, היא תזוהה לפני העלאתה לשרתי גיבוי. Gravity Zone גם מצליח לשחזר פעולות ומבצע בדיקות וירוסים נוספות במהלך השלב הזה.
מערכת GravityZone כוללת גם ניהול שלמות הקבצים , ניהול תצורה, סריקת פגיעות ותיקון אוטומטי. כל אלה הם כלים חיוניים להגנה מפני תוכנות כופר. בנוסף, עם חבילת שירותים זו, למשתמשים יש הגנה מיידית, התקשות המערכת , פונקציות שחזור מערכת וניטור קבצים, שהם כל הכלים שאתה צריך כדי להגן מפני תוכנת כופר GoldenEye.
GravityZone פועל כמו מכשיר וירטואלי, והוא זמין עבור א חודש ניסיון חינם .