Beast Ransomware napada Windows, Linux i ESXi sisteme
Beast Ransomware, takođe poznat kao Monster, stvara značajnu opasnost u sajber bezbjednosnom okruženju od svog pojavljivanja 2022. godine. U nastavku će biti riječi o najnovijim ažuriranjima i mogućnostima Beast Ransomware zlonamjernog softvera, fokusirajući se na njegovu podršku za više platformi uključujući Windows, Linux i ESXi sisteme, do kojih su došli sigunosni sitraživači kompanije Cybereason.
BEAST RANSOMWARE
Beast Ransomware je zlonamjerni softver koji funkcioniše po modelu ransomware kao usluga (eng. Ransomware-as-a-Service – RaaS), što ga čini dostupnim širokom spektru filijala širom podzemnog ekosistema sajber kriminala. Ovaj zlonamjerni softver je u početku koristio programski jezik Delphi, ali je od tada ažuriran i prepisan u C programski jezik za Windows verzije i C i Go programske jezike za Linux i ESXi verzije. Ova fleksibilnost omogućava ransomware zlonamjernom softveru da cilja različite operativne sisteme, povećavajući njegov potencijalni doseg.
Jedna od značajnih karakteristika ransomware zlonamjernog softvera je njegova segmentirana metoda šifrovanja datoteka, koja šifruje datoteke u hodu i umotava ih u .ZIP format sa napomenom o otkupnini unutra. Pored toga, koristi višenitne redove za šifrovanje, prestanak procesa/usluga, brisanje kopija u sjenci, učitavanje skrivenih particija i skeniranje podmreže.
Distribucija
Početna kompromitacija sistema od strane Beast Ransomware zlonamjernog softvera se obično dešava kroz različite vektore infekcije kao što su phishing elektronske poruke ili kompromitovane krajnje tačke koje koriste protokol udaljene radne površine (eng. Remote Desktop Protocol – RDP). To znači da korisnik koji ništa ne sumnja može primiti zlonamjernu elektronsku poštu koja sadrži vezu ili prilog koji, kada se klikne ili otvori, omogućava ransomware zlonamjernom softveru da se infiltrira u njihov sistem.
U slučaju kompromitovanja protokol udaljene radne površine – RDP, pretpostavlja se da je zlonamjerni akter možda dobio neovlašteni pristup krajnjoj tački udaljene radne površine iskorišćavanjem ranjivosti ili korištenjem ukradenih akreditiva. Kada uđu, zlonamjerni akteri mogu da izvršavaju komande i instaliraju zlonamjerni softver kao što je Beast Ransomware.
Funkcionisanje
Nakon infiltracije, Beast Ransomware zlonamjerni softver započinje svoj napad brisanjem kopija datoteka u sjenci (eng. Shadow Copies), a zatim koristi rad sa više niti u isto vreme za efikasno šifrovanje datoteka, pri čemu roditeljska nit dodjeljuje datoteke podređenim nitima za istovremeno šifrovanje više datoteka.
Beast Ransomware cilja na širok spektar formata datoteka, uključujući dokumente, slike, video zapise i baze podataka na svim povezanim mrežnim uređajima. Da bi spriječio pokretanje više instanci na istom sistemu, zlonamjerni softver kreira jedinstveni muteks sa nizom “BEAST HERE?”.
Zlonamjerni softver koristi robusne algoritme za šifrovanje kako bi ove datoteke učinio nedostupnim bez ključa za dešifrovanje. Tokom procesa šifrovanja, postavlja dekodiranu napomenu o otkupnini “README.txt” u svaki pogođeni direktorijum koji se izdvaja iz ugrađenih podešavanja zlonamjernog softvera. Zanimljivo je da korisnici mogu da pristupe GUI okruženju Beast Ransomware zlonamjernog softvera tokom ove faze pritiskom na “ALT+CTRL” i kucanjem “666”.
Beast Ransomware korištenjem modela ransomware kao usluga – RaaS pruža svojim filijalama brojne opcije za pravljenje prilagođenih ransomware binarnih datoteka koje mogu ciljati Windows, Linux i ESXi sisteme. Ova fleksibilnost omogućava operaterima da prilagode konfiguracije ovog zlonamjernog softvera prema različitim operativnim zahtevima.
Windows varijanta
Trenutna poznata Windows verzija Beast Ransomware zlonamjernog softvera pokazuje značajanskup mogućnosti, uključujući:
- Kombinacija Elliptic–curve i ChaCha20 modela šifrovanja za sigurnu zaštitu podataka,
- Segmentirano šifrovanje datoteka koje omogućava ransomware zlonamjernom softveru da šifruje više datoteka istovremeno koristeći rad sa više niti u isto vreme,
- Režim ZIP umotavanja, koji konvertuje pogođene datoteke u .ZIP arhive u hodu, dok ubacuje bilješku o otkupnini unutar svake arhive,
- Prekid procesa i usluga radi maksimalnog uticaja,
- Brisanje kopija u sjenci radi sprečavanja oporavka podataka od strane žrtava,
- Povezivanje skrivenih particija za pristup dodatnim lokacijama za skladištenje,
- Skener podmreže koji pomaže zlonamjernom softveru da identifikuje povezane uređaje na mreži, proširujući njegove potencijalne mete.
Linux varijanta
- Mogućnost izbora putanje šifrovanja,
- Omogućavanje ili onemogućavanje određenih funkcija po potrebi,
- Generisanje bilješki o otkupnini iz spoljnih datoteka za prilagođavanje i personalizaciju,
- Daemon režim, koji omogućava zlonamjernom softveru da radi u pozadini bez interakcije korisnika,
- Napisana i na C i Go programskim jezicima kako bi se osigurala kompatibilnost sa različitim Linux distribucijama i ESXi okruženjima.
ESXi varijanta
Uz sve opcije Linux varijante, ESXi varijanta podržava još i:
- Gašenje virtuelne mašine (VM) i šifrovanje njenih datoteka,
- isključivanje specifičnog Virtual Machine Identifier – vmid.
Offline Builder
Beast Ransomware Offline Builder je došao uz nedavno ažuriranje. Promovisan je u avgustu 2024. godine i omogućava konfigurisanje Windows, Network Attached Storage – NAS i ESXi verzija van mreže. Ova karakteristika pokazuje prilagodljivost grupe zahtevima tržišta unutar ekosistema sajber kriminala. Alatka je napisana u programskim jezicima C i Go.
ZAKLJUČAK
Beast Ransomware je sofisticirani zlonamjerni softver koji je evoluirao tokom vremena da bi zadovoljio zahteve tržišta u ekosistemu sajber kriminala. Prvenstveno cilja na Windows, Linux i ESXi sisteme, sa verzijama napisanim na C i Go programskim jezicima za različite operativne sisteme. Ransomware koristi različite tehnike kao što su brisanje kopija u sjenci, višenitno šifrovanje i strateško postavljanje bilješki o otkupnini kako bi maksimizirao svoj uticaj i efikasnost. Beast Ransomware predstavlja i značajnu prijetnju zbog svojih robusnih algoritama za šifrovanje, širokog spektra ciljanih formata datoteka i mogućnosti rada na više operativnih sistema.
Kako bi se korisnici i organizacije zaštitili od ovog zlonamjernog softvera, preporučuje se da prate ransomware informacije kako bi prepoznali znakovi infekcije, koriste autentifikaciju u više koraka (eng. Multi-Factor Authentication – MFA), primjenjuju ažuriranja i ispravke i budu oprezni u vezi sa vektorima infekcije kao što su phishing elektronske poruke ili kompromitovanje protokola udaljene radne površine – RDP. Kako Beast Ransomware nastavlja da se razvija, razumijevanje njegovih mehanizama postaje ključno u efikasnoj borbi protiv ove digitalne prijetnje.
ZAŠTITA
Efikasna zaštita od Beast Ransomware zlonamjernog softvera podrazumijeva primjenu višeslojne strategije odbrane koja obuhvata različite aspekte sajber bezbjednosti. Evo nekoliko ključnih preporuka za jačanje digitalnog uporišta:
- Praćenje ransomware filijala može biti ključno, jer su one često odgovorne za distribuciju ovog zlonamjernog softvera. Pažljivo praćenje njihovih taktika i tehnika može pomoći da se ostane korak ispred u identifikovanju potencijalnih prijetnji pre nego što one izazovu pustoš u sistemima,
- Implementirati autentifikaciju u više koraka (MFA) gdje god je to moguće kako bi se poboljšala bezbjednost korisničkih naloga. Autentifikaciju u više koraka (MFA) dodaje još jedan sloj zaštite zahvaljujući od korisnika da obezbijede dva ili više faktora verifikacije, što znatno otežava zlonamjernim akterima da dobiju neovlašteni pristup,
- Redovno primjenjivati ažuriranja i ispravke na sistemima kako bi se osiguralo da se koriste najnovije verzije softvera sa otklonjenim svim poznatim ranjivostima. Ova praksa smanjuje šanse za iskorišćavanje od strane zlonamjernog softvera kao što je Beast Ransomware koji često cilja na zastarele ili ranjive aplikacije,
- Zaštiti svoje sisteme robusnim antivirusnim rješenjima koja mogu da otkriju, spriječe i stave u karantin potencijalne prijetnje kao što je Beast Ransomware. Ove alatke treba konfigurisati tako da redovno ažuriraju svoje definicije prijetnji radi optimalne zaštite,
- Omogućiti anti–ransomware funkcije u svom bezbjednosnom softveru koje mogu da otkriju i blokiraju zlonamjerne aktivnosti šifrovanja poput onih koje koristi Beast Ransomware. Pored toga, konfigurisati zaštitu kopija datoteka u sjenci da bi se napravile rezervne snimke datoteka, što omogućava da se one vrate ako su šifrovane ili izbrisane tokom napada. Na kraju, primijeniti politike kontrole aplikacija kako bi se ograničio neovlašteni pristup osjetljivim sistemskim direktorijumima i aplikacijama,
- Kako bi se zaštitili od tehnika višenitnog rada koje koristi Beast Ransomware, razmisliti o primijeni rješenja sposobnog za nadgledanje i kontrolu korišćenja CPU resursa u više niti. Ovo može pomoći u identifikaciji sumnjivih obrazaca aktivnosti koji mogu ukazivati na napad koji je u toku,
- Na kraju, ali ne i najmanje važno, održavati redovne rezervne kopije kritičnih podataka kako bi se osiguralo oporavak u slučaju da su datoteke šifrovane ili izgubljene tokom ransomware Čuvati ove rezervne kopije bezbjedno i povremeno testirajte njihovu mogućnost obnavljanja kako bi se garantovalo da će biti dostupne kada je to najpotrebnije,
Pridržavajući se ovog sveobuhvatnog skupa preporuka, korisnici i organizacije mogu značajno smanjiti rizik da postanu žrtva podmuklog Beast Ransomware zlonamjernog softvera i da efikasno zaštite svoju vrijednu digitalnu imovinu.