Lahat ng Kailangan mong Malaman Tungkol sa Fileless Ransomware

Ang merkado ng ransomware ay umuusbong. Isang bagong lahi ng mga nakakahamong ahente ang dumating. Ito ay minarkahan ng stealth at gumawa ng mga biktima sa maraming mga kumpanya ng telecom, ahensya ng gobyerno, at mga institusyon sa pagbabangko atbp. Ang mga pag-atake na ito ay nagtulak sa mga departamento ng IT sa mga kumpanya sa buong mundo na manatiling alerto. Ang mga detalyadong babala ay inisyu sa mga manggagawa upang hindi buksan ang mga hindi naka-secure na mga kalakip ng email at upang maiwasan ang pagbisita sa mga hinihinalang website at mga third-party na apps. Teknikal na kilala bilang walang sala o malware-free ransomware, ang mga tool na ito ay isang pangunahing banta. Ginagamit nila ang wika ng script ng PowerShell ng Microsoft para sa pag-target ng mga organisasyon gamit ang mga dokumento at / o mga application na tumatakbo sa pamamagitan ng macros.


Lahat ng Kailangan mong Malaman Tungkol sa Fileless Ransomware

Lahat ng Kailangan mong Malaman Tungkol sa Fileless Ransomware

Ano ang PowerShell?

Ang isang gawain ng automation na nakatuon sa wika ng programming, ang PowerShell ay ginagamit sa MS OS kasama ang higit sa 100 mga tool sa linya ng utos.

Ano ang Ginagawa ng Fileless Ransomware sa PowerShell?

Ginagamit ng Ransomware ang mga script na batay sa PowerShell o macros para sa pag-encrypt ng file. Ito ay naiiba sa tradisyonal na ransomware na nagsagawa ng data-based na file encryption.

Isang Pangkalahatang-ideya ng mga Fileless Attacks

Kabilang sa mga pinakamalaking hacks sa kasaysayan ay nagawa nang walang imik. Noong 2016, may isang nakawin ang ilang mga dokumento mula sa Demokratikong Komite ng Pambansa (DNC) na pagkatapos ay pinakawalan para maimpluwensyahan ang halalan ng pangulo noong taon. Ginawa ito sa pamamagitan ng mga phishing emails na may naka-kompromiso na link na naihatid sa mga manggagawa ng DNC. Nang mai-click, sumalakay ang pag-atake upang gumana sa pamamagitan ng PowerShell at WMI.

Ayon kay Charles Gaughf, ang Security Lead na may (ISC) ², isang online security NPO, ang mga walang-sala na pag-atake ay karaniwang naka-host sa pamamagitan ng mga phishing link at mga drive-by website.

Ang isa pang pag-atake gamit ang mga hindi marumi na daluyan ay tumama sa mahigit sa 140 mga bangko at mga organisasyong pinansyal mula sa higit sa 40 mga bansa sa pagsisimula ng 2017. Ang sumalakay ay nakuha sa system gamit ang isang server na hindi ipinadala.

Pagkatapos ay nag-load ito ng isang kompromiso na code sa memorya gamit ang mga script ng PowerShell at Windows Registry.

Bukod dito, nakontrol ng mga umaatake ang mga system gamit ang mga karaniwang system utility na binubuo ng mga utility utility tulad ng NETSH at SC.

Ang remote access na ito ay nagpapahintulot sa kanila na mag-set up ng memorya ng residente ng ATMitch na memorya. Ginawa ito sa mga ATM na kung saan pagkatapos ay iniutos na alisin ang kanilang cash. Kinuha ng mga umaatake ang cash na ito at umalis. Dahil walang mga file sa anumang mga system, ang pag-alis ng paglabag ay napakahirap.

Ang Dalawang Pangunahing Mga Paraan ng Walang Kulang na Walang Batayang Ransomware Infiltrate Systems

Gamit ang mga pag-atake sa phishing na nabuo sa pamamagitan ng mga email, maaaring mag-script ng macros ang isang attacker sa memorya ng system. Ito ay humahantong sa mga hinihingi ng mga hinihingi ng auto at encryption ng data.

Ang pangalawang paraan ay sa pamamagitan ng hindi ligtas na mga website na na-access ng isang manggagawa. Hinahayaan nitong i-target ng mga umaatake ang RAM sa pamamagitan ng mga script. Pinapayagan silang makakuha ng access sa impormasyon at humiling ng mga pagbabayad ng cryptocurrency. Kung hindi man, ang kanilang data ay mai-encrypt at ibibigay nang walang silbi.

Mga Uri ng Mga Walang Pag-atake

Mayroong apat na pangunahing uri ng hindi maruming ransomware na dapat mong malaman:

  • Pag-atake ng eksklusibo ng memorya: Ang mga pag-atake na ito ay naka-access sa mga alaala ng serbisyo sa Windows upang maikalat ang kanilang pag-abot. Nakarating sila sa merkado nang maaga noong 2001. Gayunpaman, maaari silang malutas sa pamamagitan ng pag-restart ng system.
  • Mga diskarte na walang katapusang pamamaraan: Ang nasabing pag-atake ay hindi ma-clear ng isang simpleng pag-restart kahit na ang hard disk ay hindi nahawahan. Ginagawa ito sa pamamagitan ng paggamit ng Windows Registry upang mag-imbak ng mga nakakahawang script, na ipagpatuloy ang impeksyon kahit na matapos ang pag-reboot.
  • Mga gamit na doble: Ang ganitong mga pag-atake ay isinasagawa sa pamamagitan ng impeksyon sa Windows system apps. Ginagawa ito upang makakuha ng pag-access sa mga target na system o upang ilipat ang data sa mga umaatake.
  • Pag-atake ng file na Non-Portable (PE): Ang ganitong mga pag-atake ay gumagamit ng parehong mga tool at script upang gawin ang kanilang epekto sa pamamagitan ng PowerShell, CScript, o Wkrip.

Bakit Sikat ang Ransomware?

Madaling gamitin ang Ransomware. Karaniwan, ang mga kumpanya ay hindi nag-iisip nang dalawang beses bago magbayad ng isang pantubos kaysa sa panganib sa pagkawala ng data o pagkakaroon ng masamang publisidad. Ang pagtaas ng mga cryptocurrencies ay pinahusay din ang kakayahang maabot ng ransomware. Ang mga hindi nagpapakilalang paraan ng pagbabayad hayaan ang mga hacker ay may hard-to-trace na paraan ng pagkuha ng pera mula sa kanilang mga biktima. Kasabay nito, ang mga paglilipat ng cryptocurrency ay hindi maaaring baligtarin at sa gayon, ang mga ito ay epektibo pati na rin ang ligtas.

Ano ang Gumagawa ng Hindi Natatanging Ransomware Natatanging?

Ang natatanging ransomware ay kakaiba dahil mahirap makita. Ito ay dahil ang katutubong wika ng script o ang RAM ay na-injected na may nakakahawang code. Hinahayaan nitong itago sa memorya at magpatakbo ng mga utos mula doon.

Ano ang Sinusubukan ng Walang Fileless Ransomware?

  1. Ang fileless ransomware ay epektibong hindi maaasahan kahit na sa mga komersyal na grade antiviruses.
  2. Ang mga pag-atake na ito ay nag-iiwan ng iyong system na bukas na bukas para sa mga cybercriminals upang samantalahin. Maaari nilang gawin ang lahat ng mga uri ng mga bagay sa iyong network o aparato sa sandaling na-hack nila ito kasama ang data theft / encryption nang hindi napansin.
  3. Binubuksan din nila ang aparato na nakompromiso sa maraming pag-atake. Ito ay dahil ang magsasalakay ay maaaring magsulat ng mga script habang nakukuha ang impormasyon mula sa nakompromiso na aparato.

Pagprotekta sa Iyong Sarili mula sa Fileless Ransomware

Sa kabila ng mga walang-sala na ransomware na mabisang hindi malilimutan ng karaniwang software ng antivirus, mayroong isang bilang ng mga bagay na maaari mong gawin upang maiwasan ang mga ito. Ang unang bagay na dapat gawin ay upang matiyak na ang iyong kritikal na data ay hindi ma-access ng sinuman. Ang pangalawang bagay ay tiyakin na ang iyong kahinaan sa pamamagitan ng pagkakamali ng tao ay hindi nakalantad.

Nangangahulugan ito na ang iyong mga empleyado ay kailangang malaman tungkol sa panlipunang engineering at kung paano nila mapipigilan ito. Siyempre, kakailanganin mo rin ang isang na-update na system na mayroong lahat ng mga kamakailang mga patch sa seguridad. Mayroong ilang higit pang mga tip at mungkahi na ibinigay sa ibaba upang lalo pang mapahusay ang iyong seguridad mula sa mga walang-sala na ransomware:

Marami pang mga tip

  • Tiyaking Nai-back up ang Iyong Data: Ang pananatiling protektado ay tungkol sa pag-iisip ng mga pag-atake. Dapat mong tiyakin na sinusubaybayan ng isang tao ang iyong data at pinapanatili ang naka-backup na mga kritikal na file. Ito ay magbibigay-daan sa iyo upang mai-disarm ang mga naturang pag-atake sa pamamagitan ng pag-access sa isang punto ng pagpapanumbalik na hindi naaapektuhan ng paglabag.
  • Manatiling mapagbantay: I-off ang lahat ng macros. Kung hindi, pigilin ang pagbukas ng mga file na hindi ka sigurado. Kung sakaling mayroon kang anumang mga pagdududa, dapat kang makipag-ugnay sa iyong admin sa IT.
  • Itigil ang Malicious Email, mga web page, at pakikipag-ugnayan sa pamamagitan ng mga browser at server. Dapat mong sundin ang kahinahunan kapag nakikitungo sa isang potensyal na nakakahamak na email. I-block lamang ang anumang hindi mukhang tunay o may kahit na ang bahagyang pakiramdam ng kadiliman.  

Sa pamamagitan lamang ng kaunting pag-iingat, maaari kang manatiling protektado mula sa lahat ng uri ng ransomware – regular o walang imik.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me