Cyclops Ransomware grupa nudi kradljivca podataka
Grupa Cyclops je razvila višeplatformski ransomware koji može da zarazi Windows, Linux i macOS sisteme. U potezu bez presedana, grupa sada takođe nudi poseban zlonamjerni softver za krađu podataka.
Kradljivac podataka
Softver za krađu podataka koji nudi grupa Cyclops može se koristiti za krađu osjetljivih podataka iz zaraženih sistema. Ovaj alat za krađu informacija zasnovan na Go programskom jeziku i razvijen je da cilja određene datoteke u Windows i Linux operativnim sistemima.
“Šifrovanje je složeno; sve funkcije statički implementirane upotrebom kombinacije asimetrične i simetrične enkripcije. Nakon šifrovanja u Windows i Linux korištenjem javnog ključa, CRC32 i marker datoteke se dodaju na kraj datoteke. Koristi se za identifikaciju da li je datoteka već šifrovana (kako se šifrovanje ne bi ponovilo), oznaka za Linux datoteku je 00ABCDEF, dok je u Windows 00000000000000000000000.”
– Uptycs –
Funkcionisanje
Windows verzija kradljivca podatka može se preuzeti sa Cyclops administrativnog panela kao dio arhive koja sadrži stealer.exe i config.json. Kradljivac je izvršna binarna datoteka za x64 sisteme koja preuzima sistemske informacije sa zaraženih mašina.
Nakon pokretanja, kradljivac čita datoteku config.json koja se nalazi u istom direktorijumu kao i izvršna datoteka. Konfiguracijska datoteka sadrži listu imena datoteka zajedno sa odgovarajućim ekstenzijama i veličinama.
Kradljivac evidentira direktorijume i provjerava prisustvo ciljanih datoteka i određenih ekstenzija datoteka. Ako se pronađe bilo kakva podudaranja, kreira se nova ZIP datoteka zaštićena lozinkom koja uključuje tačnu kopiju identifikovane datoteke zajedno sa odgovarajućom strukturom stabla direktorima. Podaci se zatim šalju na server napadača.
Linux verzija kradljivca podatka se takođe dobija sa Cyclops administrativnog panela kao arhiva koja sadrži stealer.exe i config.json. Funkcionalnost Linux verzije je slična verziji za Windows.
Mjere zaštite
- Edukacija korisnika je ključna za sprečavanje uspješnih napada. Korisnici treba da budu oprezni kada rukuju prilozima elektronske pošte, posjećuju sumnjive Internet lokacije ili preuzimaju datoteke iz nepouzdanih izvora. Implementacija robusnog filtriranja elektronske pošte i pružanje edukacije o phishing tehnikama može efikasno ublažiti takve rizike.
- Korisnici bi trebalo da vode računa o redovnom pravljenju rezervnih kopija kritičnih podataka kako bi se ublažili uticaji napada potencijalnih napada. Rezervne kopije treba da budu bezbjedno uskladištene i povremeno testirane da bi se obezbijedio integritet i dostupnost podataka.
- Redovno ažuriranje bezbjednosnog softvera i sprovođenje skeniranja sistema mogu pomoći u otkrivanju i sprečavanju ovakvih prijetnji.
- Prenos ukradenih podataka na server napadača naglašava važnost sistema za praćenje mreže i detekciju upada. Organizacije treba da investiraju u robusne mjere bezbjednosti mreže kako bi identifikovao i blokirao sumnjiv odlazni saobraćaj.
- Organizacije treba da daju prioritet implementaciji autentifikacije u više koraka (eng. multi-factor authentication – MFA) za kritične sisteme i pristup osjetljivim podacima. MFA dodaje dodatni sloj bezbjednosti, što napadačima otežava da dobiju neovlašteni pristup zahvaljujući dodatne faktore autentifikacije.