Amministrazione Rete

Cos'è GoldenEye Ransomware e come proteggersi?

Ransomware GoldenEye



Il ransomware GoldenEye ha avuto una vita breve, essendo operativo solo nel dicembre 2016. Di conseguenza, questo virus ransomware non è molto conosciuto. Tuttavia, si tratta di una versione di un gruppo ransomware molto noto chiamato Petya

L'originale Petya è emerso nel marzo 2016. Ha avuto quattro versioni in rapida successione e GoldenEye è stata l'ultima. Il sistema ransomware Petya è nato in Russia e la versione GoldenEye è stata presa di mira in modo specifico imprese tedesche .



Cosa distingue GoldenEye?

Il ransomware GoldenEye è una combinazione di due strategie di attacco. Innanzitutto, due virus vengono scaricati insieme. Questi sono chiamati Misha E Petya . In secondo luogo, come tutti i ransomware, questi virus crittografano i dati e quindi richiedono un pagamento per ottenere la chiave di decrittazione.

Petya all’epoca era rivoluzionario perché non crittografa i file; crittografa il file system. Questa strategia crea la crittografia impossibile da aggirare .



I loro proprietari non lanciano attacchi Petya e GoldenEye. Invece, questi sistemi sono resi disponibili ad altri in a Ransomware come servizio formato. Pertanto, i numerosi attacchi mirati sono stati comandati da molte persone diverse.

Petya è stato rilasciato per la prima volta per una base di clienti limitata in una versione Beta. Questo è stato chiamato Petya Rosso perché il suo logo e la richiesta di riscatto erano mostrati su uno sfondo rosso. Sfortunatamente, Petya non ha avuto tanto successo perché richiedeva i privilegi di amministratore per accedere al sistema operativo ed eseguirne la crittografia.

Quando il sistema è entrato nella versione generale, gli sviluppatori hanno migliorato il design e cambiato il tema dei colori, rendendolo Petya verde . Sfortunatamente, questa versione ha introdotto Mischa, che funziona come un tradizionale aggressore ransomware crittografando i file. Il sistema Petya ora tentava il suo attacco di basso livello e, se non riusciva a raggiungere il livello di Amministratore, lanciava Mischa.

Una versione intermedia, la versione 2.5, corregge i bug nel ransomware. Funzionava ancora come Green Petya. Come quarta versione di Petya, versione 3.0, GoldenEye era il sistema perfetto. GoldenEye lancia sia Mischa che Petya, con Mischa che corre per primo. Quindi, questo è un doppia crittografia sistema. Segnando il cambiamento da Green Petya, la livrea di GoldenEye è gialla e nera.

Da dove viene il ransomware GoldenEye?

Si chiamano i creatori di GoldenEye Soluzioni Janus per la criminalità informatica . Questo non è uno dei grandi gruppi di hacker sponsorizzati dallo stato. Tuttavia, gli indizi nelle sue immagini, nel marchio e nelle convenzioni di denominazione indicano che il gruppo esiste con sede in Russia .

Janus Cybercrime Solutions gestiva un account Twitter con questo nome Giano Segretario . L'account è stato attivo nel 2016 e nel 2017, ma non ci sono post recenti sul profilo.

Cosa significa GoldenEye?

Se sei un fan di Bond, probabilmente hai visto il film Occhio d'oro . Questa è l'ispirazione per il nome del ransomware GoldenEye. Anche lo stesso gruppo di hacker prende il nome dal film.

In GoldenEye, un'organizzazione criminale russa chiamata Sindacato Giano approfitta del caos provocato dal crollo dell'Unione Sovietica hackerando il sistema di controllo di due satelliti sovietici. Questi satelliti si chiamano Petya e Mischa. Quindi, lanciano un'arma a impulsi elettromagnetici chiamata GoldenEye.

Il gruppo di hacker russo ha preso il nome di Janus e ha utilizzato il nome di uno dei satelliti, Petya , per il suo ransomware. Quando avevano bisogno di un altro nome per il loro secondo virus, Misha era disponibile. Tuttavia, nel film c’erano solo due satelliti, quindi quando gli hacker cercarono un terzo nome, ricorsero al titolo del film.

Il fatto che gli hacker si identifichino così strettamente con questo sindacato criminale immaginario indica che sono russi.

Successori di GoldenEye

La fama della serie di ransomware Petya è dovuta alle azioni di altri hacker dopo che Janus Cybercrime Solutions ha abbandonato il servizio RaaS alla fine del 2016. Diversi altri gruppi di hacker hanno estratto il codice del ransomware GoldenEye e lo hanno integrato nel loro ransomware. Petya l'aveva fatto una buona reputazione grazie alla sua strategia innovativa. Quindi aveva i suoi imitatori.

I notevoli imitatori del ransomware GoldenEye e dell'originale Petya sono:

  • PetrWrap – Un derivato di Green Petya che utilizza il suo meccanismo di intrusione.
  • Santana – Un sistema con tutte le caratteristiche di una versione di prova e di una copia di GoldenEye.
  • Petja+ – Questo è un imitatore di Petya piuttosto che una copia. Blocca lo schermo e presenta una richiesta di riscatto, intitolata Petya, ma non esegue alcuna crittografia.
  • Non Petya – Questa è la versione più distruttiva di Petya che ha reso famosa l’intera serie. Lo ha scritto il gruppo di hacker Sandworm su commissione del GRU – il servizio di intelligence militare russo. Questo ransomware è anche noto come Eterno Petya E ExPetr .

Sebbene nessuna delle versioni di Petya sia stata utilizzata per scopi benigni, NotPetya è la fonte affidabile di accuse sul sistema Petya. Quel ransomware non fa veramente parte del ciclo Petya, come lo è il ransomware GoldenEye.

Il sistema NotPetya è stato identificato come un'arma utilizzato dal governo russo nel giugno 2017 per indebolirlo gravemente Ucraina e aiutare i separatisti del Donbas a prendere il sopravvento nella loro lotta per l’indipendenza.

Sebbene l’80% degli attacchi NotPetya siano avvenuti in Ucraina, sono state colpite anche aziende di altri paesi. Nonostante abbia somiglianze con GoldenEye, NotPetya non è, infatti, un ransomware. Sovrascrive semplicemente il Master Boot Record e non dispone di alcun meccanismo per invertire il danno: lo è un tergicristallo .

Come funziona il ransomware GoldenEye?

GoldenEye aveva una vita molto breve . I suoi primi attacchi sono stati lanciati il ​​5 dicembre 2016 e la sua campagna non è durata più di un anno. Mentre tutte le versioni precedenti di Petya comunicavano in inglese, GoldenEye scriveva ai bersagli in inglese tedesco perfetto . Si trattava di un'edizione su misura di un sistema offerto come sistema Ransomware-as-a-Service. Stranamente, il gruppo Janus dovrebbe scegliere di prendere di mira solo la Germania. È possibile che GoldenEye lo fosse su misura per un importante cliente della piattaforma Petya RaaS.

La routine di invasione di un attacco GoldenEye è iniziata con la ricerca. Ogni obiettivo era un'azienda che pubblicizzava un posto vacante. L'e-mail di targeting è stata inviata in risposta a un annuncio pubblicitario, quindi GoldenEye non è stato utilizzato per invii di massa. Le e-mail provenivano sempre da Rolf Drescher . Si trattava di uno scavo presso una società di consulenza tedesca sulla sicurezza informatica Dipl.-Ing. Rolf B. Drescher VDI & Partner che ha offerto servizi di mitigazione a Petya.

L'e-mail inviata agli obiettivi aveva due allegati: un curriculum in formato PDF e un file XLS. IL File XLS contiene il programma di installazione di GoldenEye implementato come macro, che si attiverebbe all'apertura del file.

Le macro hanno aperto una connessione a un server remoto, hanno scaricato il codice per Misha , e poi lo ha eseguito. L'installazione è stata quindi copiata ed eseguita a basso livello codice petya . GoldenEye aveva perfezionato Petya e superato il blocco sui sistemi che rimuoveva la necessità che l'account utente avesse i diritti di amministratore per accedere al sistema operativo.

All'avvio, GoldenEye ha bloccato il PC e lo ha riavviato. L'utente è stato quindi mostrato un falso CHKDSK schermo, che era scritto in inglese. Questo mostrava una barra di avanzamento, apparentemente per mostrare l'avanzamento dell'assegno. Tuttavia, ciò ha ostacolato il processo di crittografia.

GoldenEye ha sfruttato una lacuna nel sistema operativo Windows per sovrascrivere il Master Boot Record (MBR), disabilitare l'opzione di avvio in modalità provvisoria e quindi crittografare la Master File Table (MFT). Il sistema GoldenEye utilizza RSA E AES cifrari di crittografia per la sua fase Mischa e Salsa20 crittografia per i suoi processi Petya.

Una volta completato il processo di crittografia MFT, il PC mostra il logo GoldenEye, un teschio e ossa incrociate composti da caratteri di testo. Il ransomware ha quindi mostrato le istruzioni per il riscatto.

Per riprendersi da questo attacco, all'utente è stato chiesto di installare il file Browser Tor , accedere a un sito Web specifico e immettere un ID univoco. Questo sito Web ha quindi fornito alla vittima istruzioni su come pagare il riscatto Bitcoin . Una volta effettuato il pagamento, all'utente è stata fornita una chiave di decrittazione per l'armadietto MFT e un'utilità di decrittazione per invertire la crittografia di Mischa.

A differenza di alcuni sistemi ransomware, la routine di decrittazione ha funzionato bene e gli obiettivi che hanno pagato il riscatto sono riusciti a riprendersi completamente.

I migliori strumenti per proteggersi dal ransomware GoldenEye

La migliore protezione contro il ransomware GoldenEye è quella educare gli utenti contro l'apertura di allegati o il seguente collegamento nelle e-mail. Anche tu devi farlo eseguire regolarmente il backup tutti i dispositivi del sistema separatamente per evitare che un virus infetti i file di backup dell'intero sistema durante il caricamento da un endpoint.

Sono disponibili alcuni strumenti eccellenti per proteggersi da GoldenEye e da tutti gli altri attacchi ransomware. Eccone tre.

1. CrowdStrike Falcon Insight (PROVA GRATUITA)

CrowdStrike Falcon Insight

CrowdStrike Falcon Insight è un sistema di rilevamento e risposta degli endpoint che include moduli residenti su ciascun endpoint più un modulo basato su cloud. Mentre i moduli endpoint forniscono una protezione costante per ciascun dispositivo, il servizio cloud mantiene tutti gli sforzi coordinati e fornisce la potenza di elaborazione per l'intero sistema.

Questo strumento è perfetto per la difesa dal ransomware GoldenEye e da tutti gli altri malware grazie a CrowdStrike un gruppo di ricerca che individua rapidamente il nuovo malware e ne monitora lo sviluppo.

L'agente del dispositivo è disponibile anche come servizio antivirus autonomo di nuova generazione. Questo si chiama CrowdStrike Falcon Prevenire . Monitorando tutte le installazioni di Falcon Prevent, il sistema Falcon Insight può tracciare rapidamente tutte le attività sull'intero sistema.

Il servizio Falcon Insight condivide l'intelligence sugli attacchi tra tutti i client del sistema. Ciò significa che non appena un client subisce un attacco da nuovo malware , tutte le istanze degli altri client vengono avvisate. Non è possibile pianificare modelli di malware, come ad esempio quelli di ransomware, perché ce ne saranno sempre di nuove varianti. Il lavoro fondamentale è rilevare attività insolite e bloccare il dispositivo per impedire la diffusione dell’infezione. Questo è il ' risposta 'parte del sistema Insight.

Puoi ottenere unProva gratuita di 15 giornidi Falcon Prevent.

CrowdStrike Falcon Insight Inizia la prova GRATUITA di 15 giorni

due. ManageEngine DataSecurity Plus

ManageEngine DataSecurity Plus

ManageEngine DataSecurity Plus si concentra sul monitoraggio dell'integrità dei file. È un sistema eccellente da scegliere se si segue uno standard di sicurezza sulla privacy dei dati, come ad esempio PCIDSS , HIPAA , O GDPR . È anche un sistema molto adatto per la protezione contro il ransomware GoldenEye e altri malware che intaccano i file.

Si tratta di un software locale che si concentra sulla difesa di Windows, l'obiettivo principale del ransomware GoldenEye. Il software per questo servizio viene eseguito WindowsServer .

Il sistema DataSecurity Plus tiene traccia di tutta l'attività dei file . Puoi scegliere come reagisce il sistema quando rileva modifiche non autorizzate ai file. Invierà un avviso per avvisarti di attività insolite. Tuttavia, puoi anche specificare risposte automatizzate, come escludere il dispositivo dalla rete, spegnerlo o disconnettere l'utente.

ManageEngine DataSecurity Plus è disponibile per a Prova gratuita di 30 giorni .

3. BitDefender GravityZone

Bitdefender GravityZone

BitDefender GravityZone offre molti punti di protezione contro il ransomware GoldenEye e altri tipi di malware. Si tratta di un pacchetto di sicurezza completo che protegge endpoint e reti ed esegue la scansione dei virus in ogni luogo.

GravityZone include un sistema di gestione del backup così come punto finale antivirus protezione. Ciò significa che il ransomware viene individuato non appena viene scaricato su un endpoint, ma se, in futuro, un nuovo ransomware riesce a bypassare i controlli AV, verrà individuato prima di essere caricato sui server di backup. Gravity Zone riesce anche a ripristinare le azioni ed effettua ulteriori controlli antivirus durante quella fase.

Il sistema GravityZone include anche gestione dell'integrità dei file , gestione della configurazione, scansione delle vulnerabilità e patch automatizzate. Questi sono tutti strumenti essenziali per proteggersi dal ransomware. Inoltre, con questa suite di servizi, gli utenti hanno una protezione immediata, indurimento del sistema , funzioni di ripristino del sistema e monitoraggio dei file, che sono tutti strumenti necessari per proteggersi dal ransomware GoldenEye.

GravityZone funziona come un apparecchio virtuale, ed è disponibile per a prova gratuita di un mese .

^