Hvad er RobbinHood Ransomware og hvordan man beskytter sig mod det?
RobbinHooder opkaldt efter middelalderens fredløse, kun med en anden stavemåde - den Robin Hood fra Sherwood Forest har kun et 'b'
Cybersikkerhedsforskere bemærkede først denne ransomware i april 2019. Dets første større angreb var på kontorerne hos Byen Greenville i North Carolina, og den fortsatte derefter med at angribe byen Baltimore, Maryland, den følgende måned.
Som størstedelen af ransomware angriber RobbinHood computere, der kører Windows operativ system. Malwaren introducerer en kerne på lavt niveau, som er beregnet til et bundkort skabt af Gigabyte. Dette system er blevet forældet og er kendt for sine fejl, så virksomheder, der kommer sig efter et RobbinHood-angreb, skal gendanne deres filer og geninstaller operativsystemet helt ned til BIOS for at slippe af med denne fejl. Desværre får selv dem, der betaler løsesummen for at få dekrypteringsnøglen, ikke dette kerneproblem rettet for sig automatisk.
Hvor kommer RobbinHood fra?
RobbinHood er ikke en del af en ransomware-familie, og det er heller ikke et produkt af en kendt hackerbande. Cybersikkerhedsanalytikere ved ikke noget om den gruppe, der skabte RobbinHood, eller hvor de bor. Der er dog et fingerpeg i løsesumsedlen, der er oprettet til RobbinHood. Andet afsnit slutter med: “Spild ikke din tid og skynd dig! Tik Tak, Tik Tak, Tik Tak!'
Ure siger forskellige ting på forskellige sprog – på engelsk hører vi ure sige ' Tik tak .' På japansk siger ure ' Kachi kachi ' på kinesisk er det ' Dida dida ', og på koreansk siger ure ' Ttok ttak .' Urene siger ' tik tok ” på hollandsk og russisk. I betragtning af, at det meste af ransomware i verden er produceret i Rusland, er det mere sandsynligt, at RobbinHood er russisk frem for hollandsk.
En anden indikation af, at dette er russernes arbejde, er, at koden til et af modulerne, Steel.exe refererer til en brugermappe med navnet Mikhail .
Hvordan kommer RobbinHood ransomware ind på en computer?
RobbinHood ransomware bruger flere forskellige metoder til at komme ind på en computer. Den primære måde, hvorpå ransomware vises, er som en vedhæftet fil til en phishing-e-mail . Dette vil lokke brugeren til at downloade og køre den vedhæftede fil. En anden metode er igennem inficerede hjemmesider . Denne malware tilføjer en popup til webstedet, der fortæller brugeren, at browseren er forældet. Klik på OK på pop op-vinduet forårsager en download, som, når den køres, installerer den første del af RobbinHood-angrebet i stedet for den lovede browseropdatering. En anden distributionsmetode er igennem fildelingssystemer . Installationsprogrammet udgiver sig som en ønskværdig video for at narre folk til at downloade og åbne den.
Den første del af installationsprogrammet er et legitimt program, der har en sikkerhedsfejl. Dette er en chauffør til et Gigabyte bundkort. Chaufføren er det, man kalder kernen . Det fortolker styresystemkommandoer til handlinger på computerens fysiske komponenter. Desværre har denne driver et insekt, og det er blevet forældet af Gigabyte. Pc'er ved dog ikke, at filen ikke længere er gyldig, fordi den har alle de nødvendige sikkerhedsgodkendelser.
Når denne driver er på computeren, gør den et indgangspunkt tilgængeligt for hackeren gennem den kendte fejl. Driveren lader andre systemfiler indlæses og erstatte eksisterende systemer. Dette kommer ind under filhåndteringssystemet Windows og giver hackerne mulighed for at fjerne låse på filer. Det gør det også muligt for hacker-batchfiler dræbe processer .
Hvad sker der i et RobbinHood ransomware-angreb?
De batchfiler, som installationsprogrammet indlæser i, dræber mange kørende processer, herunder anti-virus systemer . Uden AV'en kører, kan malware køre uden registrering. Det dræber også enhver editor, der kan have en fil åben. Dette vil omfatte Word og Excel. Enhver fil, der er åben til redigering, kan ikke overskrives med en krypteret version.
Overraskende nok afbryder malwaren alle tilsluttede drev. Dette ser ud til at være en mistet mulighed for at sprede sig til andre computere. Det ser dog ud til, at arbejdsgangen i krypteringsprocessen skal håndteres én computer ad gangen . En replikeringstjeneste inden for ransomware-pakken forventes at spredning krypteringen eksekverbar til andre computere på tværs af netværket. Så hvert endepunkt vil blive krypteret separat.
Ransomwaren har haft stor succes med at besidde hele det virksomhedssystem, den inficerer. Det implementerer ikke krypteringen med det samme, men venter indtil mange computere er blevet inficeret. Analytikere ved ikke, hvordan controlleren for ransomware ved, hvornår nok endepunkter er nået. Det kan bruge et standard netværksovervågningsværktøj til at generere en liste over alle endepunkter, der er tilsluttet det samme netværk som oprindelige mål .
RobbinHood ransomware ser ud til at krydse over til andre computere på et netværk ved hjælp af Remote Desktop Protocol (RDP). Nogle websteder kræver ikke en adgangskode til denne protokol implementeret som et hjælpeprogram i Windows-operativsystemet. En anden sikkerhedsfejl for dette system er at bruge en adgangskode, der er nem at gætte, som f.eks adgangskode eller 123456789 .
Den sidste fase i forberedelsen er en Ryd op , som sletter alle logfiler og fjerner de skyggekopier, som AutoSave-funktioner opretter. Denne finale før angreb deaktiverer også opstartsgendannelsestilstand af Windows.
RobbinHood-krypteringsprocessen
Efter at have udført alle disse opgaver for at sprede sig rundt i et netværk og ændre kernen på hver kompromitteret computer, kan angrebet stadig blive afbrudt. Hackerne har indbygget en sidste minut på stedet kontrolmekanisme .
Krypteringen bruger to lag af kryptering med den ydre indpakning udført med RSA , et offentligt nøglekrypteringssystem. Inden krypteringsrutinen påbegyndes, leder ransomwaren efter en lagret RSA-krypteringsnøgle i Windows Temp-mappen. Dropperen har sandsynligvis installeret denne fil til ransomware-pakken. Men hvis krypteringsprocessen ikke kan finde det, er hele ransomware-proceduren det afblæst .
I betragtning af at hele systemet er installeret sammen af den samme dropper, hvorfor kan det så være, at nøglefilen ikke ville være der? Det er muligt, at en af de tidligere processer eventuelt sletter krypteringsnøglefilen. Russiske hackere vil ikke angribe computere, der har Russisk som systemsprog. Denne høflighed omfatter sprogene i alle nationerne i det tidligere USSR, undtagen de baltiske stater. Rekognosceringsprocessen kan slette nøglefilen, hvis den opdager en beskyttet nationalitet.
Krypteringsprocessen bruger en AES chiffer med en ny nøgle for hver fil. Det originale navn på hver fil og nøglen, der bruges til at kryptere den, gemmes derefter i en fil, som er krypteret med RSA-chifferet ved hjælp af 4096-bit nøgle opdaget i Temp-biblioteket. Så hvert angreb kan identificeres af den samme RSA-nøgle, som beskytter mange AES-nøgler.
Da hver fil er krypteret, ændres dens navn til at være Encrypted_
RobbinHood løsesum
RobbinHood dropper fire kopier af løsesumseddel i tekstformat på det krypterede drev og genererer en HTML version, der vises på offerets skærm. Denne anmodningsnotat indeholder et link til en kontaktformular. Målsiden kan dog kun åbnes i en Tor-browser. Hackerne giver offeret fire dage til at betale løsesummen, eller den vil stige med $10.000 pr. dag, hvis den ikke bruges. Notatet forklarer det også en gang ti dage er bestået uden betaling, vil registreringen af dekrypteringsnøglen blive slettet, og alle chancer for gendannelse vil være permanent tabt.
Rapporter tyder på, at hackere overholder deres løfte og leverer en dekryptering og nøglen til dem, der betaler. Den oprindelige løsesum ligger mellem 0,8 Bitcoin og 13 Bitcoin, afhængigt af hvor mange computere der var inficeret.
At løse problemet vil ende med at koste mere end blot løsesummen. For eksempel beregnede byen Greenville, at deres samlede inddrivelsesomkostninger beløb sig til $18,2 millioner - inklusive løsesummen, som de betalte.
Forebyggelse af RobbinHood ransomware-angreb
Som med al malware er forebyggelse bedre end helbredelse. Det store problem, du vil stå over for, er ikke at miste data, men rod buggy kerne installation årsager. Du bliver nødt til at fjerne hver computer og geninstallere hele operativsystemet fra metal og op.
Du kan hurtigt immunisere enhver computer mod RobbinHood-krypteringen takket være denne nøglefilkontrol. Desværre bruger forskellige versioner forskellige navne til den fil. Det kunne for eksempel være pub.nøgle eller nøgle.pub . Det er dog altid i C:WindowsTemp folder. Så opret en tom fil for hvert af disse navne og skrive-beskytte dem. På den måde vil installationsprogrammet til RobbinHood ikke være i stand til at kopiere nøglefilen, og når krypteringsprocessen starter, finder den ikke nøglen og falder derfor omkuld.
Du vil dog stadig have det kerneproblem at håndtere. Et komplet malwarebeskyttelsessystem er en bedre plan end en hurtig løsning til at blokere en specifik ransomware-stamme. Her er to systemer, som du bør overveje til forsvar mod RobbinHood ransomware og al malware.
1. CrowdStrike Falcon Insight (GRATIS PRØVE)
CrowdStrike Falcon Insight er en god sikkerhedspakke til at gardere sig imod en bred vifte af malware , herunder RobbinHood ransomware. Desværre har RobbinHood været igennem fire versioner, og den nyeste software til systemet har kun 23 procent af den originale kode i sig. Dette fremhæver et problem med traditionelle AV'er, der bare leder efter specifikke filnavne eller processer for at opdage malware - selv den samme malware udvikler sig over tid, hvilket gør at de afslørende tegn Umoderne. I stedet bruger Falcon Insight et tilpasningsdygtigt detektionssystem, der opdager ny malware.
Falcon Insight-systemet er en næste generation endepunktdetektion og respons (EDR) service. Dette sporer al aktivitet på et slutpunkt og identificerer regelmæssig aktivitet for hver brugerkonto. Systemet udløser en alarm, hvis der pludselig dukker ikke-typisk adfærd op. RobbinHood-tricket med at installere en ny kerne ville passe ind i den kategori af unormal adfærd .
CrowdStrike Falcon Insight-tjenesten er en koordinator til slutpunkt-resident detektionssystemer. Disse moduler fås separat som et produkt kaldet Falcon Prevent .
Insight-tjenesten er et cloud-baseret modul, der modtager aktivitetsrapporter fra slutpunktsagenter og scanner gennem dem for mistænkelig adfærd. Dette giver CrowdStrike-systemet to detektionspunkter . Den første ser på det ene endepunkts aktivitet, mens den anden ser efter forbundne aktiviteter på tværs af endepunkter. Dette er nyttigt til at opdage ransomware-aktivitet, der spredes fra et endepunkt til et andet.
Skysystemet modtager også en trusselsefterretningsfeed og kommunikerer anbefalede handlinger ned til slutpunktsmodulerne. Derudover inkluderer EDR-tjenesten afhjælpningssystemer, der øjeblikkeligt kan blokere et angreb under udvikling. EDR kan f.eks karantænesoftware eller dræbe processer, der virker truende. Det kan den også isolere en enhed fra netværket for at forhindre en infektion i at sprede sig.
Du kan få en15 dages gratis prøveperiodeaf Falcon Prevent.
CrowdStrike Falcon Insight Start 15-dages GRATIS prøveperiode
to. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus er et væsentligt værktøj for virksomheder med en databeskyttelsesstandard, som f.eks GDPR , PCI DSS , eller HIPAA . Det er en følsom databeskytter.
Heldigvis stjæler og offentliggør RobbinHood ikke følsomme data. Men det gør anden malware. Truslen om at offentliggøre stjålne data bliver i stigende grad en standard ekstra trussel i ransomware for at tilskynde ofret til at betale.
DataSecurity Plus har en eDiscovery modul, der søger på netværket efter følsomme datalagre. Når den finder dem, kategoriserer den dataene på hver lokation. Dette giver dig mulighed for at øge sikkerheden de steder. Pakken indeholder også en overvågning af filintegritet der vil udløse en advarsel, hvis beskyttede filer berøres. Dette værktøj kan også vende skaden ved at gendanne fra backup. Det kan også dræbe processer og isolere enheden fra netværket.
ManageEngine DataSecurity Plus er tilgængelig for en 30-dages gratis prøveperiode .