Sådan beskytter du din virksomhed mod Ako Ransomware: Essentielle ting at huske på
Ako Ransomware er målrettet mod virksomheder. Find ud af, hvordan du forhindrer og begrænser et angreb.
This post is also available in:
English
Du kan blive fristet til at tro, at du har set det hele før når det gælder cyberangreb. Indtast Ako ransomware, en stamme, der blev opdaget i begyndelsen af 2020, der sandsynligvis vil overraske selv de mest erfarne eksperter. Selvom infektionen starter med en temmelig standard malspam-kampagne, bliver det snart klart, at den måde, den spreder sig på, ikke ligner dens forgængere.
I denne artikel vil jeg forklare, hvad Ako ransomware er, samt hvordan det krypterer din enhed. Som altid, så følg med indtil slutningen for nogle nyttige råd om, hvordan du beskytter din virksomhed mod et potentielt angreb, og hvad du skal gøre, hvis det alligevel sker.
Hvad er Ako Ransomware?
Ako er en ransomware-stamme, der blev opdaget den 8. januar 2020, da en bruger ved navn Josh-SafeStorz postede på BleepingComputer-forummet og bad om teknisk assistance. Ifølge offeret blev både deres Windows SBS 2011-server og deres Windows 10-skrivebord krypteret som en konsekvens af angrebet. Ligesom andre ransomware-stammer med højere mediesynlighed, spreder Ako sig gennem malspam-kampagner. E-mails indeholder en vildledende tekst, der hævder, at vedhæftningen er “en aftale til dig, som du anmodede om” med en krypteret og adgangskodebeskyttet .zip-filvedhæftning. Adgangskoden er specificeret i selve meddelelsen, og ved at bruge den åbnes Pandoras boks i dine systemer. Filen i .zip-arkivet er en med titlen “aftale” med en .scr-udvidelse, der vedrører pauseskærme og er meget brugt af cyberangribere. Grundigere scanning af filen afslører, at dens udvidelse faktisk er .exe, hvilket betyder, at det er en eksekverbar fil. Ako ransomware fungerer inden for to varianter, der er meget ens. Den eneste forskel mellem dem ser ud til at blive fundet i instruktionerne om indførelse. Mens version 1 beder brugerne om at kontakte angriberne via en e-mail-adresse, retter version 2 dem mod et Tor-betalingssted.
Er Ako Ransomware MedusaLocker?
Bleeping Computer skaberen og ejeren Lawrence Abrams afdækkede en ældre prøve af Ako ransomware, som efterfølgende blev analyseret af den etiske hacker Vitali Kremez. Ifølge sidstnævntes resultater var Ako-stammen magen til MedusaLocker, en ransomware-familie, der blev opdaget et par måneder før i september 2019. I sammenligning med MedusaLocker har Ako “anti-Windows-adfærd”, der er målrettet mod registrerede kortlagte drev og krypterende maskiner. Dette førte til, at offentligheden kaldte den MedusaReborn. Det blev dog hurtigt afklaret, at det ikke var tilfældet, og de to er ikke forbundet på nogen måde. I en e-mail sendt til BleepingComputer bekræftede Ako’s skabere og operatører, at Ako ransomware ikke havde noget at gøre med den berygtede Medusa-bande. Med deres ord:
Vi ser nyheder om os. Men det er forkert. Om MedusaReborn. Vi har intet at gøre med Medusa eller noget andet. Dette er vores eget produkt – Ako Ransomware, det er, hvis du selvfølgelig er interesseret.
Under den korte udveksling, der fulgte, ville de til at stjæle brugerdata, før de krypterede deres “job”, hvilket betyder, at de ikke kun er ude efter løsepengene.
Hvordan Ako Ransomware krypterer din enhed
Nu hvor du ved hvad Ako ransomware er, skal vi se, hvad der sker, når det krypterer din enhed. Når den først inficerer en maskine, udfører den følgende tre kommandoer:
- Det sletter kopier af skyggevolumen.
- Det rydder nylige sikkerhedskopier
- Det deaktiverer Windows-gendannelse.
KIlde: BleepingComputer
Dernæst vil Ako sikre, at det kan få adgang til kortlagte drev, selv i en UAC-proces (User Account Control). Dette opnås ved at oprette EnableLinkedConnections-registerværdien og sætte den til 1 under
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System-nøglen. Efter at have gennemført disse trin, begynder ransomware at kryptere din enhed. Det er programmeret til at målrette mod alle filer, der IKKE indeholder følgende udvidelser:
- .exe
- .dll
- .rdp
- .key
- .sys
- .ini
- .lnk
Udover at fiske efter udvidelser krypterer Ako ransomware også filer, hvis veje IKKE har følgende strenge:
- Program Files
- Program Files (x86)
- ProgramData
- AppData
- PerfLogs
- Boot
- Windows
- Intel
- Microsoft
- Tor Browser
Når en fil er krypteret, er det let at opdage, da en tilfældigt genereret udvidelse vil blive knyttet til dens navn. For eksempel bliver gerbil.jpg gerbil.jpg.XiQni6, som giver væk at nogen har rodet med dine data. Ud over dette vil filer også have en CECAEFBE-filmarkør som en anden indikator for kryptering. Da Ako ransomware krypterer de data, der er gemt på din maskine, scannede den også ping-netværket efter responsive maskiner, og målretter dem derefter også. På denne måde lykkes det at inficere en hel online netværksomkreds ved superspeed i stedet for at fokusere på individuelle arbejdsstationer. Efter kryptering finder brugerne også et tekstdokument på deres desktops med navnet “ako-readme”. I det er instruktionerne om, hvordan man kommer til Tor-webstedet, hvor betalingen skal foretages, eller kontaktens e-mail-adresse. Jeg anbefaler dog ikke at betale det ønskede beløb. Du skal aldrig lægge penge i lommerne på cyberkriminelle, for du har ingen reel garanti for, at du får dine data tilbage.
Hurtig detektion: Ako Ransomware IOC’er
Indikatorer for kompromis, eller kort sagt IOC’er, er stykker af cyber-data, såsom logposter eller filer, der gør det muligt for IT-fagfolk at opdage databrud eller malwareinfektioner hurtigere. For din bekvemmelighed har jeg listet nedenfor de Ako ransomware IOC’er, der hidtil er blevet identificeret, så du ved, hvad du skal passe på fra nu af:
MAIN OBJECT
- agreement.scr (.exe)
ASSOCIATED FILES
- ako-readme.txt
- id.key
ASSOCIATED REGISTRY KEY
- HKEY_CURRENT_USER\Software\akocfg
ATTACKER LOGIN IP
- 173.126.136
EMAIL SENDER IP
- 191.227.53
HASHES
- sha256 – c817a576455e0534b2500e57ec5c473febe6ca3c0211fe5a1cd96a619508d348
- sha1 – 6127f590e040902e820fbcebc2387fa9450e7ed2
- md5 – fd5ce9e0ebad9cca91399311b012063b
5 Ako Ransomware-beskyttelses Tips
1. Træn dine medarbejdere i socialteknisk praksis
Vidste du, at forkert uddannede medarbejdere stadig er den førende faktor, når det kommer til cyberangreb? Ifølge forskning godkendt af UK Information Commissioner’s Office (ICO) skyldes 90% af sikkerhedsbrud menneskelige fejl. Dette sker, fordi folk oftere end ikke, ikke er i stand til at genkende de tydelige tegn på et ransomware-angreb. Lad os tage sagen om Ako for at illustrere dette. Efter en kort analyse af dets krop og indhold er der flere røde flag i de ondsindede spam-e-mails, der staver phishing:
- en krypteret .zip arkivfil,
- adgangskodebeskyttelse på en vedhæftet fil
- og en ikke-arkiveret fil med .scr-udvidelse.
Hvad mere er, selve meddelelsen var stærkt afhængig af social engineering-praksis. Dens tekst efterlignede almindelige arbejdspladssamtaler og indeholdt endda det “som du anmodede om” for at narre brugeren til at tilskrive krævet legitimitet. Af denne grund er cyberuddannelse det første skridt mod en holistisk onlinesikkerhedsstrategi. Mit råd: organiser mindst et par seminarer, måske endda medbring en ekspert. På denne måde minimerer du risikoen for, at dine medarbejdere bliver narret af (faktisk ikke så) smart social engineering.
2. Bloker filtypenavne tilknyttet Ako Ransomware
Som jeg tidligere har nævnt, leveres Ako ransomware i en .exe-fil, der dækker for en .scr. En måde at sikre, at det ikke inficerer dit netværk, er ved at blokere disse specifikke udvidelser såvel som andre udvidelser, der ofte er forbundet med malware, på virksomheds-e-mails. Eksempler inkluderer .vbs, .js, .jar, .dll og .tmp. Det er dog ingen hemmelighed, at ransomware leveres i filtyper, der normalt cirkuleres på en arbejdsplads, såsom Microsoft Office og Adobe Reader-filer (.doc, .docx, .pdf osv.). Hvad gør man så? Hvordan forhindrer du en Ako ransomware-infektion, samtidig med at du ikke mangler vigtige dokumenter, der sendes? Min anbefaling er at styrke din e-mail-tjenestes traditionelle filtreringsfunktioner med en avanceret løsning som vores Heimdal E-mail-sikkerhed. Det stopper ikke kun spam, men det registrerer også malware og ondsindede phishing-webadresser, hvilket holder dine interne og eksterne kommunikationskanaler sikre.
Heimdal® Email Security
3. Opdater og patch altid din software
Ransomware-aktører som Ako og mange andre før (og efter) det får ulovlig adgang til et netværk ved at udnytte systemets sårbarheder. Til gengæld skabes disse svage punkter ofte af upatchet og forældet software eller applikationer. Derfor kan jeg ikke understrege nok, hvor vigtigt det er at anvende opdateringer på alle maskiner i din virksomhed, så snart de frigives af deres respektive udviklere. Det er her, Heimdals Threat Prevention-endpoint + Patch & Asset management kommer ind i billedet. Medmindre du opretter en brugerdefineret tidsplan for det, implementerer vores kernetilbud relevante patches inden for 72 timer efter deres frigivelse. Ikke kun det, men det stopper også ransomware på DNS-niveau med sine DarkLayer Guard™ & VectorN Detection-moduler.
Heimdal® Threat Prevention
- Endpoint
4. Installer en næste generations antivirusløsning
Ako ransomware fik berømmelse ved at inficere hele netværk ad gangen. På det seneste ser det ud til, at hackere overholder det universelle motto om at go big or go home. For at forsvare din virksomhed skal dit mål være at blive endnu større. Kom foran kurven med en komplet endpoint detekterings- og reaktionsløsning, der beskytter din virksomhed mod de værste angreb. Vores Heimdal™ Next-Gen Antivirus & MDM har en integreret signaturbaseret kodescanningsfunktion, der registrerer og forhindrer ransomware samt en lang række andre ondsindede trusler. Når den flettes sammen med Foresights avancerede DNS-trusselsopsporings funktioner, bliver Vigilance en komplet cybersikkerhedsressource. Kombineret med deres kræfter danner de to vores Threat Prevention-endpoint + Patch & Asset + NGAV firewall + MDM produkter, der fungerer som din virksomheds vagttårn, alt sammen under et tilgængeligt tag.
5. Find en Ako Ransomware Decryptor (hvis du kan)
Er din virksomhed allerede blevet inficeret med Ako ransomware? Efter det koster det en pris, hvorfor du altid skal kontrollere og se om et online dekrypteringsværktøj først er blevet offentliggjort. Desværre er en Ako-ransomware-dekryptering endnu ikke tilgængelig. Jeg anbefaler at tjekke tilbage til vores artikel om ransomware-dekrypteringsværktøjer, hvor vi konstant holder vores læsere opdateret med de nyeste udgivelser. Hvis en vil blive frigivet i fremtiden, vil du helt sikkert finde den der.
For at opsummere…
Når det kommer til at håndtere Ako ransomware, er forebyggelse dit bedste valg. Men hvis du har oplevet den ulykke, at du allerede er smittet, skal du ikke betale løsepenge. Sikkerhedskopier dine data offline, luk systemer inden for få sekunder efter den første IOC, og hold øje med dekrypteringsværktøjer. Prisen for at få dine data tilbage kan ende med at blive højere end hvad hackerene vil have at du skal betale, men det er det ikke værd i det lange løb. Stol på mig på denne her.