TM_97

8 28|6|2022 #097 Μια νέα ομάδα που επαγγέλλονται ransomware-ists, με το όνομα Black Basta, έχει κινήσει το ενδιαφέρον στο ransomware. Σχηματίστηκε τον Απρίλιο του 2022 και πιστεύεται ότι αποτελείται από πρώην μέλη των Conti και REvil. Τα ευρήματα, που κυκλοφόρησαν από την εταιρεία XDR Cybereason, περιγρά- φουν λεπτομερώς τις δραστηριότητες αυτής της νέας συμμορίας, μαζί με τρό- πους με τους οποίους τόσο εταιρείες όσο και άτομα, μπορούν να δοκιμάσουν να παραμείνουν ασφαλείς έναντι των δρα- στηριοτήτων της νέας ομάδας. Ήδη, η συνεργασία αυτή των haker έχει θυματοποιήσει 50 οργανισμούς στις Ηνωμένες Πολιτείες, το Ηνωμένο Βασί- λειο, την Αυστραλία, τη Νέα Ζηλανδία και τον Καναδά, παρά το μικρό χρονικό διά- στημα που βρίσκεται σε ενεργό δράση. Το ransomware που χρησιμοποιεί η Black Basta είναι νέο, σύμφωνα με την Cybereason, και χρησιμοποιεί τεχνικές διπλής εκβίασης. Η συμμορία κλέβει τα αρχεία ενός οργανισμού-θύματος και στη συνέχεια, απειλεί να δημοσιεύσει τα κλεμμένα αρχεία, εάν δεν ικανοποιηθούν τα αιτήματα για λύτρα. Η ομάδα φέρεται να απαιτούσε έως και εκατομμύρια δολά- ρια από τα θύματά της για να μη δημοσιο- ποιήσει τα κλεμμένα δεδομένα, σύμφωνα με τη Cybereason. Η ίδια η επίθεση πραγματοποιείται με χρή- ση του κακόβουλου λογισμικό QBot, το οποίο απλοποιεί τη διαδικασία ransomware για ομάδες όπως η Black Basta, επιτρέπο- ντας την ευκολότερη αναγνώριση κατά τη συλλογή δεδομένων για τον στόχο. Μετά από αρκετή παρακολούθηση, η συμμορία στοχεύει τον Domain Controller και κινείται πλευρικά χρησιμοποιώντας το PsExec. Στη συνέχεια, ο επιτιθέμενος απενερ- γοποιεί το Windows Defender και οποι- οδήποτε άλλο λογισμικό προστασίας από ιούς μέσω της χρήσης ενός παρα- βιασμένου Group Policy Object. Μό- λις απενεργοποιηθεί κάθε λογισμικό άμυνας, το Black Basta αναπτύσσει το ransomware χρησιμοποιώντας μια κω- δικοποιημένη εντολή PowerShell, που αξιοποιεί το Windows Management Instrumentation για να προωθήσει το ransomware σε διευθύνσεις IP που κα- θορίζονται από την ομάδα. Πώς μπορούν οι οργανισμοί να προ- στατευτούν από αυτό το ransomware; Η χρήση αρχιτεκτονικής μηδενικής εμπι- στοσύνης (zero trust) μπορεί να βοηθήσει στην αποτροπή αυτού του τύπου επιθέ- σεων. Με το να μην υπάρχει εμπιστοσύνη για κανένα αρχείο ή σύνδεσμο έως ότου επαληθευτεί πλήρως ότι είναι νόμιμο, οι επιχειρήσεις και οι υπάλληλοί τους μπο- ρούν να εξοικονομήσουν πολύ χρόνο, χρήμα και μπελάδες. Επιπλέον, η διασφά- λιση ότι τα patch του συστήματος είναι περασμένα, μπορεί να βοηθήσει και σε αυτή τη διαδικασία. Είναι διαπιστωμένο ότι ομάδες ransomware εκμεταλλεύονται ευπάθειες σε μια σειρά απαρχαιωμένων στοιχείων λογισμικού, όπως η εκμετάλ- λευση του Windows Print Spooler που παρατηρήθηκε τον Μάιο του 2021. Τέλος, το λογισμικό antivirus πρέπει να είναι επί- σης ενημερωμένο. Το Υπουργείο Προστασίας του Πολίτη, η Τράπεζα της Ελλάδος, η Ελληνική Αστυνομία και η Ελληνική Ένωση Τραπεζών συνε- χίζουν την εκστρατεία ενημέρωσης και ευαισθητοποίησης του κοινού για τις ηλεκτρονικές απάτες, δίνοντας απαντήσεις σε συ- χνές ερωτήσεις που θέτει το κοινό. Πιο συγκεκριμένα, ως προς τα μηνύματα phishing που υποτί- θεται προέρχονται από την Τράπεζα, η λύση είναι να μην δίνει ποτέ κανείς τα προσωπικά του στοιχεία, καθώς οι Τράπεζες δεν ζητούν ποτέ προσωπικά στοιχεία ή κωδικούς πρόσβασης στο ebanking. Σε περίπτωση ηλεκτρονικής πώλησης αντικειμένων, ο αγορα- στής αρκεί να έχει μόνο τον ΙΒΑΝ του λογαριασμού του πωλητή, ενώ το ακριβές ποσό κατάθεσης θα πρέπει να το ελέγξει ο πω- λητής από τον λογαριασμό του, κι όχι από αποδείξεις κατάθεσης που μπορεί να προσκομίσει ο αγοραστής. Επιπλέον, αν σας ζητηθεί να μεσολαβήσετε ως ενδιάμεσος σε δι- ακίνηση χρημάτων από άλλα άτομα, συνήθως άγνωστα, υπάρ- χει μεγάλη πιθανότητα να εμπλακείτε σε παράνομες ενέργειες. Μία άλλη επικίνδυνη περίπτωση, αφορά σε τηλεφωνικές κλή- σεις από το εξωτερικό, όπου ο καλών ισχυρίζεται ότι είναι από κάποια εταιρεία πληροφορικής και ζητά απομακρυσμένη πρό- σβαση στον υπολογιστή για να επιλύσει κάποια δήθεν βλάβη. Εφόσον δεν έχει δηλωθεί βλάβη σε συσκευή σας από εσάς, πρέ- πει να διακόψετε την κλήση και να μην προχωρήσετε σε εγκατά- σταση λογισμικού απομακρυσμένης διαχείρισης. Μερικές ακόμα χρήσιμες οδηγίες είναι να χρησιμοποιούνται πά- ντα οι πιο ενημερωμένες εκδόσεις Internet browsers (Chrome, Microsoft Edge, κ.ά.), οι οποίες εξασφαλίζουν προηγμένο σχε- διασμό ασφαλείας, να ενημερώνεται απευθείας η Τράπεζα σε περίπτωση υπόνοιας διαρροής των κωδικών ασφαλείας σας. Black Basta: Η all-star συμμορία ransomware Προστασία από κάθε είδους ηλεκτρονικές απάτες Του Στάθη Ασπιώτη