## Kibernetska varnost in delovanje skupine Key Group
Kibernetska varnost postaja vse pomembnejša, saj se kibernetski napadi, kot je tisti, povezan s skupino Key Group, pojavljajo vse pogosteje. Ta skupina, financirana s kibernetskim kriminalom, je aktivna od aprila 2022. Njihova glavna strategija vključuje uporabo odkupne programske opreme, ki so jo prilagajali in nadgrajevali skozi čas.
### Razvoj odkupne programske opreme
Skupina se je sprva osredotočila na gradnik za odkupno programsko opremo Xorist, kasneje pa je prešla na gradnik Chaos, ki je ciljal na ruske uporabnike. Chaos uporablja različne tehnike, da se izogne zaznavi in trdno ostane na napravah žrtev. V letu 2023 je Key Group eksperimentirala z več vrstami odkupne programske opreme, vključno z Annabelle, Slam, RuRansom in UX-Cryptor. Končno so se februarja 2024 odločili za uporabo Hakuna Matata.
#### Nedavne aktivnosti
Marca 2024 so bili opaženi pri uporabi odkupne programske opreme Judge/NoCry. Ta različica omogoča večstopenjski napad, pri katerem se dostava odkupne programske opreme izvede s pomočjo LNK datotek, ki se distribuirajo prek lažnih e-poštnih sporočil. Te datoteke izvajajo PowerShell ukaze, ki prenašajo samonastavljive arhive.
### Tehnike vztrajnosti
Različice odkupne programske opreme, kot so Xorist, Chaos, Annabelle in UX-Cryptor, vključujejo tehnike vztrajnosti za zadrževanje nadzora nad okuženimi sistemi. Na misel pridejo naslednje tehnike:
– **Xorist**: Spremeni povezave datotečnih pripon, kar omogoča izvajanje, ko so odprte šifrirane datoteke.
– **Chaos**: Ustvari nov proces in ga doda v zagonsko mapo.
– **Annabelle**: Uporablja ključe registra Run in Winlogon.
– **UX-Cryptor**: Spreminja registre in dodaja dodatne izvršljive datoteke v zagonsko mapo.
– **NoCry**: Doda sebe v zagonsko mapo, kar še dodatno otežuje odstranjevanje zlonamerne programske opreme.
### Povezave z drugimi skupinami
Omeniti je treba, da so začetek delovanja skupine Key Group morda povezali z rusko govorečo spam skupino “huis”. Njihove zgodnje različice so uporabljale pripono “.huis_bn” in omenjale “huis” v odkupnih sporočilih. Podatki kažejo na povezave skupine z “json1c” in “Bloody-Lord Destroyer-Crew” na Telegramu.
#### Komunikacijski kanali
Skupina Key Group uporablja zaprt Telegram kanal za komunikacijo in v preteklosti je imela odprt kanal za posodobitve ter interakcijo z žrtvami. Tovrsten pristop jim omogoča enostavno usklajevanje in iskanje novih žrtev.
### Kako se boriti proti odkupni programski opremi?
Kibernetska varnost je ključnega pomena, da se zaščitimo pred kibernetskimi napadi, kot je tisti, ki ga izvaja skupina Key Group. Tudi majhni ukrepi lahko bistveno izboljšajo zaščito:
– **Redno posodabljanje programske opreme**: Poskrbite, da so vsi sistemi vedno posodobljeni.
– **Uporaba protivirusne programske opreme**: Uporabite zaupanja vredno protivirusno zaščito in omogočite samodejno skeniranje.
– **Izobraževanje zaposlenih**: Informirajte svoje sodelavce o nevarnostih lažnih e-poštnih sporočil in kako jih prepoznati.
– **Redno varnostno kopiranje podatkov**: Vse pomembne podatke redno shranjujte na zanesljive medije.
### Prihodnost odkupne programske opreme
Po podatkih portala Secure List je skupina Key Group hektivistična skupina, ki izkorišča vdore in GitHub repozitorije kot primarni kanal za nadzor in distribucijo zlonamerne programske opreme. To omogoča lažje sledenje njihovim aktivnostim ter strategijam.
### Zaključek
Kibernetska varnost ostaja ključen dejavnik za zaščito pred kibernetskimi napadi, kot so tisti, povezani s Key Group. Z nenehnim razvojem njihovih tehnik in orodij je za vsako organizacijo nujno, da ostane informirana in pripravljena.
Za več informacij o aktivnostih skupine Key Group, si oglejte objavo o [Key Group](https://cyberpress.org/key-group-ransomware-leaked-builders/) na Cyber Security News. Kibernetska varnost in boji proti odkupni programski opremi se tako nadaljujejo, morda pa se premikamo proti boljšim rešitvam v prihodnosti.