Payouts King: novi ucjenjivači softver

AUTOR ·

Pojava zlonamjernog softvera za šifrovanje datoteka Payouts King naglašava potrebu da organizacije usvoje robusnije strategije zaštite podataka, pokazuje istraživanje Zscaler ThreatLabz. Dalja analiza ovog zlonamjernog softvera otkriva da on zahtijeva duboko razumijevanje složene interakcije između zlonamjernih aktera i branilaca, što dodatno potvrđuje značaj kontinuiranog učenja i usavršavanja u oblasti bezbjednosti.

Payouts King

Payouts King: novi ucjenjivači softver; Source: Bing Image Creator

PAYOUTS KING

Pojava Payouts King kao tehnički napredne operacije ucjenjivačkog softvera (eng. ransomware) predstavlja značajan pomak u sajber bezbjednosti. Smatra se da ovom grupom upravljaju bivši članovi Black Basta grupe, koji ponovo koriste svoj priručnik za društveni inženjering, uz dodatne rutine maskiranja kôda i šifrovanja.

Fokus Payouts King ucjenjivačkog softvera na krađu podataka velike vrijednosti i selektivno šifrovanje pokazuje da ciljaju organizacije sa osjetljivim informacijama, poput finansijskih institucija, zdravstvenih organizacija ili vladinih agencija. Korištenje jake kriptografije i razvijenih tehnika izbjegavanja ukazuje na namjeru da se ostane ispred antivirusnih softvera i softvera za detekciju i odgovor na prijetnje (eng. Endpoint Detection and Response – EDR).

Posebno je značajno što Payouts King ponovo primjenjuje Black Basta pristup društvenom inženjeringu. Ovaj metod je vremenom usavršen kroz analizu prethodnih kampanja, što grupi omogućava da prilagodi taktike radi izbjegavanja otkrivanja, a da pritom zadrži visok nivo uspjeha u kompromitovanju ciljanih sistema.

Pojava Payouts King zlonamjernog softvera ističe stalnu evoluciju zlonamjernih grupa i njihovih taktika, tehnika i procedura. Kada se jedna grupa raspušta ili doživi poremećaj u radu, druge se pojavljuju sa novim mogućnostima i strategijama kako bi popunile prazninu. Ova dinamika naglašava potrebu za neprekidnim praćenjem i analizom od strane stručnjaka za sajber bezbjednost.

 

Taktike društvenog inženjeringa

Primijećeno je da Payouts King operateri u velikoj mjeri koriste taktike društvenog inženjeringa kao glavno sredstvo za dobijanje početnog pristupa poslovnim okruženjima. Njihov pristup obično počinje zasipanjem žrtava neželjenom elektronskom poštom, nakon čega slijede ciljani phishing i vishing napadi osmišljeni da prevare korisnike i navedu ih da odobre udaljeni pristup.

Ključni element ovih kampanja jeste korištenje phishing mamaca zasnovanih na Microsoft Teams protiv rukovodilaca organizacija. Ove taktike su usavršene i nakon gašenja brenda Black Basta, koji je ranije primjenjivao sličan priručnik. Ponovna upotreba takvih metoda ukazuje da Payouts King možda djeluje unutar istog ekosistema početnih brokera pristupa.

Posebno je značajna kombinacija Microsoft Teams, Quick Assist i snažnog telefonskog pritiska, koja se koristi kako bi se stvorio osjećaj hitnosti među žrtvama. Na taj način one postaju podložnije odobravanju udaljenog pristupa. Zlonamjerni akteri zatim raspoređuju zlonamjerni softver radi uspostavljanja uporišta u ugroženom okruženju, što im omogućava bočno kretanje i pripremu za pokretanje ucjenjivačkog softvera.

Efikasnost ovih taktika društvenog inženjeringa ogleda se u sposobnosti da zaobiđu tradicionalne bezbjednosne kontrole. Direktnim ciljanjem rukovodilaca putem phishing mamaca, operateri Payouts King iskorištavaju odnose povjerenja između zaposlenih i menadžmenta. Time se zaobilaze i robusnije bezbjednosne mjere koje bi mogle biti primijenjene unutar organizacije.

Dodatno, korištenje Quick Assist opcije kao alata za rješavanje problema sa elektronskom poštom stvara privid pouzdanosti. Lažno predstavljanje zlonamjernih aktera kao internog IT osoblja daje dodatnu uvjerljivost njihovim tvrdnjama, olakšavajući metama da bez oklijevanja odobre udaljeni pristup.

 

Maskiranje kôda

Na tehničkom nivou, zlonamjerni softver Payouts King projektovan je sa slojevitim prikrivanjem kôda usmjerenim na otežavanje statičke analize i otkrivanja zasnovanog na potpisu. Umjesto da se znakovi direktno čuvaju u binarnom zapisu, oni se konstruišu u naslaganom nizu, što otežava alatima koji se oslanjaju na unaprijed izračunate heš tabele da identifikuju osjetljive oznake ugrađene u kôd.

Upotreba FNV1 heširanja sa posebnim sjemenom dodatno otežava proces, jer potkopava tradicionalne metode obrnutog mapiranja u velikim razmjerama. Svaka heširana vrijednost formira se korištenjem jedinstvenog sjemena, što istraživačima bezbjednosti otežava sastavljanje sveobuhvatnih heš tabela za prepoznavanje prijetnji.

Pored sastavljanja znakova u naslaganom nizu, Payouts King koristi i razrješavanje Windows programskih poziva putem hešova umjesto preko uobičajenih imena. Ovaj postupak dodaje dodatnu složenost pri pokušaju analize ili obrnute izrade binarnog kôda. Upotreba posebnih kontrolnih rutina sličnih metodi cikličke kontrole suvišnosti (eng. cyclic redundancy check – CRC), ugrađenih u binarni zapis, dodatno prikriva osjetljive oznake i otežava stručnjacima da prepoznaju prijetnje.

Argumenti komandne linije koji se koriste za podešavanje ucjenjivačkog softvera Payouts King tokom izvršavanja takođe su skriveni iza prilagođene funkcije cikličke kontrole suvišnosti (CRC), što ih čini teškim za otkrivanje ili analizu direktno iz binarnog zapisa. Sigurnosni istraživači uspjeli su da povrate originalne parametre primjenom tehnika obrnutog inženjeringa i identifikovanjem specifičnih prekidača koji kontrolišu različite aspekte ponašanja softvera.

Među tim opcijama nalaze se podešavanja za korištenje rezervnih kopija (-backup), podizanje privilegija (-noelevate), režim prikrivenosti (-nohide, –nopersist), ciljanja (-path, –mode, –percent), vrijeme (time), evidentiranje (-log), bilješke o otkupu (-note) i zastavica identiteta (-i), koja mora da se podudara sa očekivanim kontrolnim zbirom prije nego što započne šifrovanje. Ova zaštita od izolovanih okruženja osmišljena je da spriječi automatizovane alate za analizu da prepoznaju prisustvo ili ponašanje zlonamjernog softvera.

 

Hibridna šema šifrovanja

Payouts King ucjenjivački softver koristi hibridnu šemu šifrovanja koja kombinuje RSA i AES algoritme za zaštitu datoteka. Ovaj pristup zasniva se na statički povezanim OpenSSL bibliotekama koje omogućavaju primjenu potrebnih kriptografskih primitiva. Zlonamjerni softver primjenjuje 4096-bitne RSA ključeve u kombinaciji sa 256-bitnim AESCTR režimom, čime se obezbjeđuje snažna zaštita podataka.

Svaka datoteka se šifruje zasebno, koristeći sopstveni prividno-nasumični AES ključ i početni vektor (eng. initialization vector – IV). Dobijeni šifrovani tekst skladišti se zajedno sa RSA zaštićenim zaglavljem koje sadrži metapodatke: oznaku algoritma (AES ili ChaCha20), izvornu i šifrovanu veličinu, ključ i početni vektor po datoteci, nasumično popunjavanje i magične bajtove. Na ovaj način svaka datoteka dobija jedinstvene parametre šifrovanja.

Selektivna priroda Payouts King šeme šifrovanja osmišljena je da uravnoteži jačinu uticaja sa brzinom rada. Male datoteke se potpuno šifruju hibridnim RSAAES algoritmom, dok se kod velikih primjenjuje djelimično blokovsko šifrovanje. Zlonamjerni softver dijeli velike datoteke na 13 blokova i šifruje polovinu svakog, čime se ubrzava proces obrade velikih skupova podataka.

Ovakav pristup omogućava operaterima Payouts King softvera da povećaju efekat bez preopterećenja mrežnih resursa ili izazivanja ozbiljnih poremećaja u ugroženom okruženju. Selektivnim ciljanjem datoteka sa ekstenzijama “visoke vrijednosti”, zlonamjerni softver usmjerava napore tamo gdje će šteta biti najveća, uz smanjenje kolateralnih posljedica.

Primjena hibridne šeme šifrovanja pokazuje prilagodljivost Payouts King ucjenjivačkog softvera i spremnost da se razvija u skladu sa novim trendovima u pejzažu prijetnji. Kombinovanjem RSA zaštićenih zaglavlja sa AES zasnovanim šifrovanjem datoteka, zlonamjerni akteri demonstriraju poznavanje savremenih kriptografskih praksi i sposobnost da ih uključe u svoje operacije.

 

Tehnike izbjegavanja

Payouts King koristi niz postupaka kako bi otežao otkrivanje i reagovanje od strane zaštitnih sistema. Jedan od osnovnih pristupa zasniva se na pregledu aktivnih procesa u sistemu. Imena procesa obrađuju se kroz funkcije za izračunavanje kontrolnih suma, a zatim porede sa internom listom koja sadrži više od stotinu vrijednosti vezanih za poznate antivirusne programe i softver za detekciju i odgovor na prijetnje (eng. Endpoint Detection and Response – EDR). Na ovaj način izdvajaju se procesi koji mogu ometati rad ili ugroziti šifrovanje podataka.

Osim pregleda procesa, Payouts King primjenjuje i posebne metode rada sa datotekama koje otežavaju prepoznavanje šablona tipičnih za ucjenjivački softver. Umjesto uobičajenih funkcija za premještanje datoteka, koristi se SetFileInformationByHandle zajedno sa FileRenameInfo. Pošto se ove funkcije rjeđe koriste, promjene imena datoteka izgledaju kao dio uobičajenog rada sistema. Time se stvara privid legitimnog ponašanja i smanjuje mogućnost da zaštitni mehanizmi prepoznaju zlonamjerne aktivnosti.

Prilikom šifrovanja, Payouts King izbjegava ključne sistemske datoteke, konfiguracione zapise i osnovne direktorijume operativnog sistema. Takođe se ne zahvataju izvršne i instalacione datoteke. Ovakav odabir omogućava da ugroženi sistem ostane funkcionalan, dok se istovremeno povećava pritisak na korisnika zbog nedostupnosti drugih podataka.

Manipulacija metapodacima datoteka dodatno otežava otkrivanje. Promjene imena i atributa izvode se tako da datoteke izgledaju kao legitimne komponente, čime se održava privid normalnog rada. Na taj način zlonamjerni kôd uspijeva da se uklopi u sistemsku okolinu i da duže ostane neprimijećen.

Kombinovanjem pregleda procesa, kontrolnih suma i posebnih metoda za rad sa datotekama, Payouts King uspijeva da izbjegne pravila koja prate tipične obrasce ucjenjivačkog softvera. Time se postiže balans između prikrivanja aktivnosti i očuvanja funkcionalnosti sistema, što mu daje prednost u odnosu na standardne zaštitne mehanizme.

 

UTICAJ

Uticaj pojave Payouts King zlonamjernog softvera ogleda se prije svega u promjeni odnosa između zlonamjernih aktera i odbrambenih sistema. Ova grupa pokazuje da naprednost ne leži isključivo u samom kôdu, već u kombinaciji tehničkih rješenja i društvenog pritiska. Time se stvara nova dimenzija prijetnje, gdje se briše granica između tehničke i psihološke manipulacije, a organizacije postaju ranjive na više nivoa istovremeno.

Veliki uticaj vidi se u načinu na koji Payouts King cilja rukovodioce i ključne pozicije unutar organizacija. Direktnim usmjeravanjem na osobe koje imaju pristup osjetljivim podacima, zlonamjerni akteri zaobilaze standardne zaštitne mehanizme. To mijenja percepciju rizika, jer se pokazuje da tehnička zaštita nije dovoljna kada se ljudski faktor koristi kao ulazna tačka.

Na tehničkom planu, slojevito prikrivanje kôda i hibridna šema šifrovanja stvaraju dodatni pritisak na sigurnosne istraživače i odbrambene timove. Posljedica je produžen proces analize i sporija reakcija, što povećava vjerovatnoću da zlonamjerni akteri ostvare ciljeve prije nego što budu otkriveni. Ovakva dinamika mijenja balans između napada i odbrane, jer se odbrana mora prilagođavati brže nego ranije.

Selektivno šifrovanje i fokus na datoteke visoke vrijednosti imaju direktan uticaj na poslovne procese. Organizacije koje čuvaju podatke od strateškog značaja suočavaju se sa prijetnjom koja ne cilja nasumično, već precizno. Gubitak podataka ne mjeri se samo količinom, već i njihovom kritičnom ulogom u funkcionisanju sistema. To stvara dodatni pritisak na sektore poput finansija, zdravstva i državne administracije.

Tehnike izbjegavanja koje Payouts King koristi utiču na pouzdanost postojećih sigurnosnih rješenja. Kada se zlonamjerni kôd uklapa u normalno ponašanje sistema, granica između legitimnog i štetnog postaje nejasna. Posljedica je smanjenje povjerenja u standardne alate za zaštitu i povećana potreba za stalnim razvojem novih metoda otkrivanja. Uticaj se širi i na širu zajednicu stručnjaka, jer se pokazuje da tradicionalni obrasci prepoznavanja prijetnji gube na efikasnosti.

 

ZAKLJUČAK

Pojava Payouts King ucjenjivačkog softvera pokazuje da se granice između tehničkih i društvenih metoda napada sve više brišu. Kombinacija složenog kôda i psihološkog pritiska otvara prostor za nove oblike prijetnji, gdje sigurnost ne može biti posmatrana samo kroz tehničke barijere. Time se stvara osjećaj da je svaka organizacija izložena višeslojnom riziku.

Posebno se ističe usmjerenost na rukovodioce i ključne pozicije, što mijenja način na koji se sagledava ranjivost poslovnih sistema. Kada se napad ne zasniva na masovnom pristupu, već na preciznom odabiru meta, posljedice postaju daleko ozbiljnije. Ovakav pristup pokazuje da se granica između tehničke zaštite i ljudske slabosti sve više pomjera.

Na tehničkom nivou, slojevito prikrivanje kôda i primjena hibridnih metoda šifrovanja ukazuju na stalnu evoluciju zlonamjernih grupa. Produženo vrijeme potrebno za analizu i otkrivanje mijenja odnos između zlonamjernih aktera i odbrane. To stvara osjećaj da se odbrana stalno nalazi korak iza, dok akteri pronalaze nove načine da ostanu neprimijećeni.

Selektivno šifrovanje datoteka visoke vrijednosti pokazuje da cilj nije samo izazivanje poremećaja, već i precizno usmjeravanje štete. Time se mijenja shvatanje gubitka podataka, jer se ne radi o količini, već o njihovoj ulozi u funkcionisanju sistema. Ovakva praksa otvara pitanje o načinu određivanja vrijednosti informacija u kontekstu prijetnji.

Tehnike izbjegavanja koje se oslanjaju na prikrivanje aktivnosti unutar sistema stvaraju dodatnu složenost. Kada se zlonamjerni kôd uklapa u uobičajene procese, granica između normalnog i štetnog postaje nejasna. Posljedica je osjećaj nesigurnosti u pouzdanost postojećih zaštitnih rješenja i stalna potreba za novim pristupima.

 

PREPORUKE

Zaštita od Payouts King ucjenjivačkog softvera zahtijeva sveobuhvatan pristup koji obuhvata tehnička rješenja i promjene u organizaciji, uz jasno definisane odgovornosti i stalno praćenje rizika kako bi se spriječile zloupotrebe i osigurala stabilnost sistema. U nastavku slijede preporuke koje mogu pomoći u postizanju tog cilja:

  1. Organizacije treba da uspostave i redovno ažuriraju svoje bezbjednosne politike kako bi bile usklađene sa najboljim praksama u industriji. Ovo uključuje primjenu zaštitnih zidova (eng. firewall), sistema za otkrivanje upada i antivirusnog softvera radi sprječavanja neovlaštenog pristupa osjetljivim podacima.
  2. Zaposleni moraju biti obučeni da prepoznaju i odole napadima društvenog inženjeringa, kao što su spam bombardovanje i phishing poruke koje mogu sadržavati zlonamjerne veze ili priloge. Redovne obuke pomažu zaposlenima da razviju potrebne vještine za identifikaciju potencijalnih prijetnji.
  3. Provjera identiteta u više koraka (eng. multi-factor authentication – MFA) treba da bude primijenjena za sve korisnike koji pristupaju osjetljivim podacima ili sistemima. Ovo dodaje dodatni sloj bezbjednosti, otežavajući zlonamjernim akterima da dobiju neovlašten pristup.
  4. Organizacije treba da koriste bezbjednosna rješenja za krajnje uređaje koja prate aktivnost sistema u stvarnom vremenu, otkrivajući prijetnje prije nego što nanesu štetu. Ovo uključuje praćenje sumnjivih preuzimanja datoteka ili izmjena osjetljivih podataka.
  5. Treba obezbijediti da svi operativni sistemi, aplikacije i dodaci budu ažurirani najnovijim ispravkama koje otklanjaju poznate ranjivosti koje zlonamjerni akteri mogu iskoristiti.
  6. Zaposleni treba da koriste šifrovane servise elektronske pošte ili aplikacije za razmjenu poruka kada razmjenjuju osjetljive informacije preko javnih mreža.
  7. Redovno pravljenje rezervnih kopija kritičnih podataka pomaže u obezbjeđivanju kontinuiteta poslovanja u slučaju napada. Kopije treba da budu sigurno pohranjene i redovno testirane radi provjere njihove ispravnosti.
  8. Administratori sistema moraju pratiti datoteke dnevnika radi sumnjivih aktivnosti, kao što su pokušaji neovlaštenog pristupa ili neuobičajene izmjene datoteka.
  9. Primijeniti sistem za upravljanje bezbjednosnim informacijama i događajima (eng. security information and event management – SIEM), jer može pomoći u prikupljanju i analizi podataka iz različitih izvora unutar sistema organizacije radi identifikacije potencijalnih prijetnji u stvarnom vremenu.
  10. Redovno sprovođenje vježbe penetracionog testiranja pomaže u identifikaciji ranjivosti koje zlonamjerni akteri mogu iskoristiti, omogućavajući organizacijama da preduzmu korektivne mjere prije napada.
  11. Organizacije treba da imaju jasno definisan plan odgovora na sajber prijetnje kako bi brzo reagovale i obuzdale potencijalne bezbjednosne događaje.
  12. Redovno informisanje zaposlenih o najnovijim sajber prijetnjama pomaže im da budu svjesni novih rizika, poput napada Payouts King ucjenjivačkog softvera.
  13. Prilikom prenosa osjetljivih podataka između sistema ili organizacija, treba koristiti šifrovane kanale i obezbijediti da sve uključene strane imaju robusne bezbjednosne kontrole radi sprječavanja neovlaštenog pristupa.
  14. Sprovoditi redovne procjene ranjivosti, jer može pomoći u identifikaciji potencijalnih ranjivosti u sistemima organizacije prije nego što ih zlonamjerni akteri iskoriste.
  15. Redovno pregledati bezbjednosne protokole, jer ovo može pomoći u identifikaciji oblasti gdje su bezbjednosne kontrole zastarjele ili nedovoljne, omogućavajući organizacijama da preduzmu korektivne mjere prije nego što se pojavi prijetnja.
  16. Prilikom šifrovanja osjetljivih podataka za pohranu ili prenos, treba koristiti robusne i široko prihvaćene standarde šifrovanja otporne na pokušaje napada da se dešifruju datoteke bez ovlaštenja.

Zaštita od Payouts King ucjenjivačkog softvera zahtijeva proaktivan i višeslojan pristup koji uključuje i tehničke mjere i organizacione promjene. Primjenom ovih preporuka, organizacije mogu značajno smanjiti rizik da postanu žrtve ove nove prijetnje.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.