Το τοπίο των κυβερνοαπειλών εξελίσσεται ραγδαία, με επιθέσεις ransomware να μην στοχεύουν πλέον μόνο μεγάλες επιχειρήσεις, αλλά και μικρότερες, με εξίσου καταστροφικές συνέπειες. Μια από τις πλέον ανερχόμενες απειλές στην Ελλάδα είναι το Nigra Ransomware, το οποίο έχει ήδη προκαλέσει προβλήματα σε δεκάδες μικρές επιχειρήσεις στη χώρα μας τα τελευταία χρόνια.
Η Tictac Cyber Security, με εμπειρία σε περιστατικά αντιμετώπισης ransomware σε όλη την Ελλάδα, έχει διαχειριστεί δεκάδες περιστατικά Nigra Ransomware την τελευταία τριετία και προσφέρει καθοδήγηση, αποκατάσταση και πρόληψη σε ευάλωτους οργανισμούς.
Τι είναι το Nigra Ransomware;
Το Nigra είναι μια μορφή κακόβουλου λογισμικού που κρυπτογραφεί αρχεία στον υπολογιστή του θύματος και προσθέτει την κατάληξη .nigra. Σε αντίθεση με πιο οργανωμένες ransomware ομάδες όπως η Lockbit ή η Akira, το Nigra φαίνεται να στοχεύει επιχειρήσεις μικρού μεγέθους (έως 30 άτομα προσωπικό) και ζητά μέτρια ποσά λύτρων, συνήθως μεταξύ 1.000 και 10.000 ευρώ.
Ωστόσο, έχουμε διαπιστώσει ότι ακόμα και αν πληρωθεί το αρχικό ποσό, σε πολλές περιπτώσεις ο επιτιθέμενος επιστρέφει με επιπλέον απαιτήσεις, ανεβάζοντας τα λύτρα έως και τρεις φορές. Αυτό το μοτίβο καθιστά το Nigra μια παραπλανητικά “φθηνή” αλλά ύπουλη απειλή.
Ποιους στοχεύει και πώς;
Οι στόχοι του Nigra είναι μικρές επιχειρήσεις – δικηγορικά γραφεία, λογιστικά, κέντρα αισθητικής, καταστήματα λιανικής και μικρές εταιρίες τεχνολογίας, οι οποίες συχνά δεν διαθέτουν εξειδικευμένο προσωπικό IT ή μέτρα κυβερνοασφάλειας.
Τεχνικές επίθεσης: Πώς αποκτά πρόσβαση ο Nigra
Το Nigra χρησιμοποιεί απλές αλλά αποτελεσματικές μεθόδους εισόδου, που βασίζονται κυρίως σε κακή διαχείριση συστημάτων και ελλιπή πρόληψη. Από τις περιπτώσεις που έχουμε εξετάσει, οι πιο κοινές μέθοδοι είναι:
1. Ανοιχτές θύρες RDP (Remote Desktop Protocol)
Οι επιτιθέμενοι εντοπίζουν θύρες RDP εκτεθειμένες στο διαδίκτυο και χρησιμοποιούν εργαλεία αυτοματοποιημένου brute force για να αποκτήσουν πρόσβαση σε συστήματα χωρίς ισχυρούς κωδικούς.
2. Μη ασφαλισμένοι Microsoft SQL Servers
Το Nigra στοχεύει ειδικά εκτεθειμένους SQL Servers με απλούς ή default κωδικούς (sa, admin, κλπ). Μόλις αποκτήσει πρόσβαση, μπορεί να καταστρέψει βάσεις δεδομένων ή να τις κρυπτογραφήσει.
3. Κακόβουλοι ή παρατημένοι λογαριασμοί
Οι επιτιθέμενοι δημιουργούν κρυφούς ή χρησιμοποιούν υπάρχοντες ξεχασμένους λογαριασμούς με admin δικαιώματα για να διατηρήσουν πρόσβαση.
4. Χειροκίνητη (human-operated) εκτέλεση
Σε πολλές περιπτώσεις, το Nigra δεν λειτουργεί αυτόματα, αλλά φαίνεται ότι αναπτύσσεται και εκτελείται χειροκίνητα από τον επιτιθέμενο, ο οποίος παραμένει μέσα στο σύστημα και παρακολουθεί την κατάσταση.
Συστάσεις του ίδιου του επιτιθέμενου
Σε πολλά περιστατικά, ο Nigra εμφανίζει “οδηγίες αποκρυπτογράφησης” με συμβουλές όπως:
- Να μην εκτίθενται οι MSSQL & RDP θύρες στο διαδίκτυο.
- Να αλλάζονται οι κωδικοί SQL Server με ισχυρούς.
- Να τερματιστεί η υπηρεσία SQL πριν την αποκρυπτογράφηση, γιατί αλλιώς δεν θα έχει δικαιώματα πρόσβασης.
- Να μετονομαστούν χειροκίνητα αρχεία με επέκταση .nigra αν δεν έχει αλλάξει η κατάληξη (αν και έχουν ήδη αποκρυπτογραφηθεί).
Αυτές οι οδηγίες δείχνουν ξεκάθαρα ότι οι επιθέσεις έχουν σχετική τεχνική γνώση και δεν είναι απλώς αυτοματοποιημένες.
Διαρροή Δεδομένων: Υπάρχει;
Από όσα έχουμε διαπιστώσει στην Tictac, μέχρι σήμερα δεν έχει καταγραφεί διαρροή δεδομένων από την ομάδα Nigra. Δεν εφαρμόζει double extortion, όπως κάνουν άλλες ομάδες, γεγονός που μειώνει τον εκβιαστικό κίνδυνο, αλλά δεν μειώνει τις ζημιές από την απώλεια αρχείων και λειτουργικότητας.
Ransomware Note του Nigra
Αν βρείτε το παρακάτω αρχείο README_WARNING.txt στον υπολογιστή σας, σημαίνει οτι έχετε μολυνθεί και κρυπτογραφηθεί με .nigra ransomware
::: Greetings :::
Little FAQ:
.1.
Q: Whats Happen?
): Your files have been encrypted for NIGRA. The file structure was not damaged, we did everything possible so that this could not happen.
.2.
Q: How to recover files?
): If you wish to decrypt your files you will need to pay us
you can send a three small files for testing,’excel ,word,txt,jpg’ something.
As a guarantee of our decryption ability.
.3.
Q: How to contact with you?
): You can write us to our 3 mailboxes: [stp9@startmail.com] [restaurera@rbox.co] [avq@inbox.eu]
If we do not reply within 24 hours, it means that the mailbox has been blocked, please contact our backup mailbox.
(please in subject line write your ID: XXXXXXXXXX)
:::WARNING STATEMENT:::
DON’T try to change encrypted files by yourself!
We have never posted any decrypted videos on youtube, any SNS, please don’t trust those crooks who post so-called decrypted videos
choose to trust them, unless you have a lot of money!
If you need decryption, please contact us via our email, we will only get in touch with you via email.
The private key for decryption only exists in our hands, and only we can help decrypt files in this world !
Πώς να προετοιμαστείτε: Risk Assessment από την Tictac
Η εμπειρία μας δείχνει ότι οι περισσότερες επιχειρήσεις που έχουν χτυπηθεί από Nigra θα μπορούσαν να είχαν προλάβει την επίθεση με βασικά μέτρα:
- Ανίχνευση εκτεθειμένων υπηρεσιών (MSSQL, RDP)
- Αλλαγή αδύναμων κωδικών
- Τερματισμός παλιών χρηστών
- Ανθεκτικά αντίγραφα ασφαλείας
- Πρόληψη lateral movement
Γι’ αυτό η ομάδα μας συνιστά να γίνει ένα Risk Assessment της υποδομής σας από την Tictac. Σε λιγότερο από 48 ώρες, μπορούμε να σας δείξουμε αν είστε ευάλωτοι σε τέτοιες επιθέσεις και να προτείνουμε βήματα ενίσχυσης της ασφάλειας.
Πώς βοηθάει η Tictac Cyber Security
Η Tictac έχει διαχειριστεί δεκάδες περιστατικά Nigra Ransomware σε όλη την Ελλάδα και προσφέρει:
- 24/7 υποστήριξη για ransomware incidents
- Επαναφορά δεδομένων, αποκατάσταση υπηρεσιών και αποκρυπτογράφηση .nigra αρχείων
- Καθοδήγηση διαχείρισης περιστατικών και διαπραγμάτευσης (εάν χρειαστεί)
- Εκπαίδευση προσωπικού και υλοποίηση πολιτικών ασφάλειας
- Αξιολόγηση ανθεκτικότητας και σχεδιασμός DR Plan
Επικοινωνήστε μαζί μας για να προστατευτείτε πριν συμβεί και σε εσάς μια κυβερνοεπίθεση τύπου Ransomware και κρυπτογράφησης.
Συμπέρασμα
Το Nigra Ransomware μπορεί να φαίνεται “μικρό” σε σχέση με άλλες απειλές, αλλά για μια μικρή επιχείρηση μπορεί να είναι καταστροφικό. Το κόστος της απώλειας αρχείων, της διακοπής λειτουργίας και της κακής φήμης είναι πολύ μεγαλύτερο από το ποσό των λύτρων.
Αν είστε μικρή ή μεσαία επιχείρηση και δεν είστε σίγουροι αν το σύστημά σας είναι ασφαλές, επικοινωνήστε με την ομάδα της Tictac σήμερα για ένα προληπτικό Risk Assessment και θωρακίστε την επιχείρησή σας πριν να είναι αργά.
