Ransomver The Gentlemen koristi sistemske zadatke za enkripciju sa povećanim privilegijama
Grupa The Gentlemen koristi ransomware koji se širi preko sistemskih zadataka sa povećanim privilegijama, napada organizacije širom sveta kroz RaaS model.
Šta se desilo?
Otkrivena je nova ransomware grupa poznata kao The Gentlemen koja predstavlja značajnu pretnju za organizacije širom sveta. Malver, napisan u programskom jeziku Go i zaštićen alatom Garble, koristi sofisticiranu taktiku napada koja uključuje enkripciju fajlova sa povećanim privilegijama preko sistemskih zakazanih zadataka, što omogućava brzo širenje kroz mrežne okruženja bez potrebe za ljudskom intervencijom.
Koga pogađa?
The Gentlemen je već izvršio napade na organizacije iz sektora obrazovanja, zdravstvene zaštite, transporta i finansija na više kontinenata - uključujući Severnu Ameriku, Južnu Ameriku, Evropu, Afriku i Aziju. Pretnja je ozbiljna jer grupa posluje kao ransomware-as-a-service platforma, omogućavajući drugim kriminalcima da koriste njihov malver kao servis. Nedavno je The Gentlemen formalizovao partnerstvo sa BreachForums-om, poznatom kriminalne tržnice, čime je pristup napadu otvorila širijem krugu potencijalnih napadača.
Kako se zaštititi?
- Odmah ažurirajte sve sistemske flate i sigurnosne zakrpe na svim računarima i serverima
- Primenjujte principom najmanje privilegije - ograničite pristup administratorskim nalozima samo onima koji ga stvarno trebaju
- Redovno testirajte i verifikujte bezbednost vašeg sistema za pravljenje rezervnih kopija podataka
- Monitorujte aktivnost zakazanih sistemskih zadataka i drugih procesa sa povećanim privilegijama
- Implementirajte endpoint detection and response (EDR) rešenja koja mogu detektovati sumnjive radnje malvera
- Prati logs i omogući detaljno logovanje za sve administrativne aktivnosti
- Provedite trening zaposlenih o rizicima od phishing napada koji se koriste kao početna tačka napada
- Imajte plan za incident response i testiranje katastrofnog scenarija
Tehnički detalji
The Gentlemen koristi naprednu taktiku koja uključuje: onemogućavanje antivirus alata, brisanje rezervnih kopija podataka, čišćenje sistemskih logova i brisanje forenzičkih tragova pre nego što započne enkripcija. Grupa primenjuje dvostruku ekstorziju - enkripcija podataka žrtve paralelno sa krađom osetljivih informacija sa pretnjom da će украдене podatke javno objaviti ako se otkup ne plati. Microsoft Threat Intelligence prati ovu grupu kao Storm-2697 i potvrđuje da je malver već široko distribuiran.
Preporuka Sajber Radara
Organizacije moraju hitno prepoznati The Gentlemen kao kritičnu pretnju i preduzeti proaktivne mere zaštite. Fokusirajte se na ojačavanje sistema kontrole pristupa, redovno ažuriranje bezbednosnih zakrpa i pojačanu monitoring aktivnosti na nivou privilegovanih procesa. Ukoliko sumnjate da ste pogođeni, odmah obavestite stručnjaka za bezbednost i lokalnih nadležnih.