Contacto ransomware izbjegava antivirusnu zaštitu

AUTOR ·

Contacto Ransomware, koji se prvi put pojavio početkom januara 2025. godine, bio je predmet interesovanja sigurnosnog istraživača pod nazivom somedieyoungZZ zbog njegovog očiglednog porekla ili kopije iz drugog poznatog soja ucjenjivačkog softvera (eng. ransomware). Međutim, uprkos svom naizgled poznatom poreklu, on koristi napredne tehnike za izbjegavanje bezbjednosnih mjera, što ga čini izazovom za ako za profesionalce u sajber bezbjednosti.

Contacto

Contacto ransomware izbjegava antivirusnu zaštitu; Source: Bing Image Creator

CONTACTO RANSOMWARE

Contacto Ransomware prvi put se pojavio početkom januara ove godine. Na prvi pogled, čini se da je to izvedena ili kopirana verzija drugog soja ucjenjivačkog softvera, ali se može pohvaliti naprednim tehnikama koje ga čine ozbiljnim protivnikom čak i za najsnažnije mjere bezbjednosti. Ovaj sofisticirani zlonamjerni softver je dizajniran sa naprednim tehnikama koje mu omogućavaju da zaobiđe konvencionalne mjere bezbjednosti i izbjegne detekciju antivirusnih rješenja.

 

Operativni mehanizmi

Operativni mehanizmi Contacto Ransomware zlonamjernog softvera su dizajnirani sa prikrivenošću na umu, što otežava otkrivanje tokom izvršenja. Nakon pokretanja zlonamjernog softvera, on koristi funkcije GetConsoleWindow() i ShowWindow() iz Windows API mehanizma. Prva funkcija se koristi za preuzimanje prozora komandne linije povezanog sa trenutnim procesom, dok druga funkcija drugi prikriva minimiziranjem ili sakrivanjem prozora od pogleda. Ovo osigurava da ucjenjivački softver ostane skriven dok obavlja svoje zlonamjerne aktivnosti na inficiranom sistemu.

Da bi spriječio istovremeno pokretanje više instanci, Contacto Ransomware uspostavlja muteks pod nazivom ContactoMutex. Objekat uzajamnog isključivanja (muteks) se koristi za sinhronizaciju pristupa dijeljenim resursima između niti (eng. threads) ili procesa u okruženju sa više niti poput onog koji koristi Contacto Ransomware. Ovaj mehanizam osigurava da se samo jedna instanca ucjenjivačkog softvera može pokrenuti u bilo kom trenutku, što otežava sigurnosnim istraživačima da analiziraju i ublaže njegove efekte.

 

Eskalacija privilegija

Eskalacija privilegija je ključna za omogućavanje Contacto Ransomware zlonamjernom softveru da efikasno izvrši svoje zlonamjerne aktivnosti i izbjegne otkrivanje. Zlonamjerni softver pokušava da eskalira privilegije manipulisanjem nekoliko Windows dozvola, kao što su SeDebugPrivilege, SeRestorePrivilege, SeBackupPrivilege, SeTakeOwnershipPrivilege, SeAuditPrivilege, SeSecurityPrivilege i SeIncreaseBasePriorityPrivilege. Ove privilegije omogućavaju ucjenjivačkom softveru da otklanja greške u drugim procesima, vraća sistemske datoteke i direktorijume i preuzima vlasništvo nad objektima unutar sistema. Dobijanjem ovih povišenih prava, ucjenjivački softver može zaobići sigurnosne mjere i efikasnije izvršiti proces šifriranja.

Ova tehnika eskalacije privilegija je značajan aspekt sofisticiranih mogućnosti Contacto Ransomware zlonamjernog softvera, jer mu omogućava da poveća svoj uticaj na sisteme žrtve, dok ostaje skriven od korisnika i antivirusnih alata za otkrivanje. Sama sposobnost ucjenjivačkog softvera da eskalira privilegije pokazuje naprednu prirodu ove prijetnje i naglašava važnost održavanja jakih mjera sajber bezbjednosti za zaštitu od takvih napada.

 

Šifrovanje podataka

Kod Contacto Ransomware zlonamjernog softvera nalazimo veoma sofisticiran i višestruki mehanizam šifrovanja koji je prvenstveno dizajniran za efikasno prikrivanje osjetljivih podataka. Ovaj složeni sistem koristi različite strategije kako bi osigurao maksimalnu sigurnost i efikasnost u svom radu.

Osnovna operacija šifrovanja koristi arhitekturu sa dvostrukim ključem, pri čemu se primarni ključ generiše preko hibridnog generatora slučajnih brojeva. Proces počinje heširanjem oba ključa korištenjem iterativnih SHA-256 rundi, tehnike poznate kao evolucija ključa. Ova strategija obezbjeđuje da se svakom profilu dodjeli jedinstveni sažetak, čime se dodaje dodatni sloj zaštite od potencijalnih detekcija. Upotreba salt vrijednosti ugrađenih u binarni program dodatno garantuje jedinstvenost po datoteci i poboljšava ukupnu bezbjednost operacije. Nakon ovog početnog koraka, algoritam šifrovanja primjenjuje slojevitu strategiju zamagljivanja da bi dodatno maskirao pravi identitet podataka.

Izbjeljivanje ključeva je jedan takav metod koji se koristi u ovom procesu, pri čemu se XOR ključevi mijenjaju sa unaprijed definisanim konstantama pre svake operacije. Ova tehnika efektivno prikriva stvarne vrijednosti ključeva i otežava neovlaštenim entitetima da ih dešifruju. Drugi sloj zamagljivanja dolazi u obliku koraka permutacije, koji uključuju miješanje svakog djela na nivou bajtova na osnovu unaprijed izračunate matrice permutacije.

Da bi se optimizovala brzina i efikasnost u ovom složenom mehanizmu šifrovanja, koristi se višenitnost tako što se koriste višenitne I/O redovi koji omogućavaju istovremenu obradu više datoteka na dostupnim CPU resursima. Korištenjem više niti, zlonamjerni softver može brzo i efikasno da šifruje veliki broj datoteka, osiguravajući da proces šifrovanja ne usporava ukupne performanse sistema, kao i da smanji vrijeme potrebno da završi svoj zadatak. Ovaj pristup se pokazao posebno korisnim u napadima ucjenjivačkog softvera gdje brojne datoteke treba da se brzo i neprimjetno šifruju.

 

Poruka o otkupnini

Jedan od bitnih aktivnosti Contacto Ransomware zlonamjernog softvera je kreiranje i prikazivanje poruke o otkupnini žrtvama nakon završetka procesa šifrovanja datoteke. Ovaj vizuelni prikaz ima višestruke svrhe, uključujući informisanje žrtve o napadu, zahtevanje plaćanja za alate za dešifrovanje i ulivanje straha i hitnosti kod korisnika pogođenog sistema.

Generisanje ove poruke o otkupnini je pažljivo osmišljen proces koji uključuje nekoliko koraka. Prvo, Contacto Ransomware preuzima parametre ekrana iz inficiranog sistema kako bi osigurao kompatibilnost sa rezolucijom ekrana žrtve, odnosom širine i visine i dubinom boje. Ovaj dinamični pristup ne samo da garantuje odgovarajući estetski vizuelni doživljaj, već i sprečava sve potencijalne probleme koji proizilaze iz neusklađenih dimenzija ili paleta boja.

Kada se odrede odgovarajući parametri prikaza, zlonamjerni softver nastavlja sa kreiranjem kompatibilne rasterske slike (eng. bitmap) koja može da prihvati tekst bilješke o otkupnini i sve prateće grafike. Ova rasterska slika služi kao platno na kojem će zlonamjerni softver napisati svoju poruku koristeći prilagođeni Arial font. Izbor ovog konkretnog fonta je strateški, jer je široko prepoznat i lako čitljiv na različitim platformama i uređajima.

Sa pripremljenom rasterskom slikom, Contacto Ransomware zatim upisuje tekst bilješke o otkupnini na nju. Ovaj tekst obično uključuje zloslutnu frazu “Contacto Ransomware…” zajedno sa uputstvima za kontaktiranje zlonamjernog aktera i detaljima u vezi sa zahtevima za plaćanje. Zlonamjerni softver osigurava da ova poruka bude jasna, koncizna i zastrašujuća kako bi se maksimizirao njen uticaj na žrtvu.

Nakon što napiše tekst bilješke o otkupnini na rasterskoj slici, zlonamjerni softver je zatim iscrta (eng. render) koristeći napredne grafičke tehnike kako bi obezbijedio vizuelnu prezentaciju visokog kvaliteta. Ovaj korak uključuje primjenu sjenila, sjenki i drugih grafičkih efekata kako bi se napomena o otkupnini istakla na pozadini radne površine zaraženog sistema. Krajnji rezultat je privlačna i vizuelno upečatljiva poruka o otkupnini koja zahteva pažnju žrtve.

Konačno, Contacto Ransomware prikazuje ovu prikazanu rasterizovanu sliku na ekranu inficiranog sistema kao novu pozadinu. Ova vizuelna izmjena služi da dodatno naglasi težinu situacije za žrtvu, istovremeno pružajući stalni podsjetnik na napad i zahtev za plaćanje dok se ne ispuni ili dok se ne zatraži pomoć od stručnjaka za sajber bezbjednost.

 

ZAKLJUČAK

Contacto Ransomware je proizvod modernog sajber kriminala, koji odražava brzu evoluciju ucjenjivačkog softvera i njegovu sve veću sofisticiranost. Ovaj zlonamjerni softver koristi napredne tehnike kao što su sakrivanje procesa, višenitno šifrovanje datoteka i strategije izbjegavanja kako bi se zaobišle mjere bezbjednosti i nanijela maksimalna šteta.

Njegova jednostavnost osporava njegovu sofisticiranost, dok istovremeno predstavlja značajnu prijetnju organizacijama i pojedincima. Kako zlonamjerni akteri nastavljaju da inoviraju i razvijaju svoje taktike, razumijevanje mehanike zlonamjernog softvera kao što je Contacto Ransomware postaje sve važnije u tekućoj borbi protiv sajber kriminala.

Korisnici i organizacije treba da budu oprezni, informisani i iznad svega proaktivni u svojim naporima da zaštitite sebe od uvijek prisutne prijetnje napada ucjenjivačkog softvera kao što je Contacto Ransomware. Ostajući korak ispred zlonamjernih aktera, moguće je zajednički raditi na bezbjednijoj i sigurnijoj digitalnoj budućnosti za sve.

 

ZAŠTITA

Suočeni sa rastućom prijetnjom koju predstavlja sofisticirani Contacto Ransomware, ključno je za pojedince i organizacije da sprovode robusne mjere sajber bezbjednosti. U nastavku će biti riječi o ključnim strategijama koje mogu pomoći da se ojača digitalna odbrana od ovog ucjenjivačkog softvera:

  1. Razumijevanje načina rada Contacto Ransomware zlonamjernog softvera je od suštinskog značaja za efikasnu borbu protiv njega. Potrebno je biti upoznat sa njegovim taktikama, kao što su skrivene operacije i ciljane metode šifrovanja, da bi se rano prepoznali potencijalne prijetnje;
  2. Višeslojni bezbjednosni pristup obuhvata različite odbrambene mehanizme koji rade zajedno kako bi zaštitili sistem iz različitih uglova. Ovo uključuje antivirusni softver, zaštitne zidove, sisteme za otkrivanje upada (eng. intrusion detection systems – IDS) i rješenja za zaštitu krajnjih tačaka;
  3. Održavanje softvera ažurnim je od vitalnog značaja za sprečavanje napada ucjenjivačkog softvera kao što je Contacto Ransomware. Ažuriranja često uključuju ispravke za poznate ranjivosti koje bi zlonamjerni akteri mogli da iskoriste. Uvjeriti se da su automatska ažuriranja omogućena na svim uređajima i da se respektivno instaliraju sve dostupne bezbjednosne ispravke;
  4. Redovne rezervne kopije kritičnih podataka mogu poslužiti kao spas u slučaju napada ucjenjivačkog softvera. Čuvati svoje rezervne kopije van mreže ili na zasebnoj mreži kako bi se spriječilo da ih Contacto Ransomware šifruje. Redovno testirajte proces oporavka da bi se osiguralo da funkcioniše efikasno kada je potrebno;
  5. Koristite složene, jedinstvene lozinke za svaki nalog i omogućite autentifikaciju u dva koraka (eng. two-factor authentication – 2FA) kad god je to moguće. Ovo dodaje dodatni sloj bezbjednosti koji zlonamjernim akterima otežava neovlašteni pristup sistemima;
  6. Phishing elektronske poruke su uobičajen vektor za distribuciju ucjenjivačkog softvera, pa treba praktikovati oprez kada se otvaraj prilozi elektronske pošte ili prilikom klikova na veze nepoznatih pošiljalaca. Ako prilog izgleda sumnjiv, ne treba ga otvarati; umjesto toga, direktno kontaktirati pošiljaoca kako bi se provjerila njegova autentičnost;
  7. Potrebno je ograničiti nivoe pristupa i dozvole korisničkih naloga samo na ono što je neophodno za njihove uloge u organizaciji implementirajući princip najmanje privilegija. Ovo smanjuje potencijalnu štetu koju može prouzrokovati uspješan napad ucjenjivačkog softvera, jer će manje sistema biti pogođeno;
  8. Potrebno je redovno pratiti sistemske evidencije, mrežni saobraćaj i bezbjednosne događaje, što će pomoći da se rano identifikuje bilo kakva neuobičajena aktivnost. Uspostavljanje osnova za normalno ponašanje omogućava da se brzo otkriju anomalije koje mogu ukazivati na napad ucjenjivačkog softvera u toku.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.