פרסום משותף של הסוכנות לאבטחת סייבר ותשתיות (CISA), הבולשת הפדרלית (FBI), המרכז לשיתוף וניתוח מידע רב מדינות (MS-ISAC) והמרכז הקנדי לאבטחת סייבר (CCCS) – מזהיר מפני גרסאות נוזקת TrueBot שזוהו לאחרונה מופנות נגד ארגונים בארה"ב ובקנדה.
קבוצות כופרה כמו Cl0p משיגות גישה לרשת המחשוב של הקורבן ואז פורסות את נוזקת TrueBot ואת משואת Cobalt Strike כדי לחדור למערכות מחשוב ולגנוב מידע. בבסיסה, נוזקת Truebot הינה Trojan.Downloader. מלבד איסוף מידע מערכת, מסוגלת הנוזקה להוריד ולהפעיל נוזקות נוספות. גרסאות עדכניות של Truebot אוספות ממערכות המחשוב שנפלו קורבן את הדברים הבאים: צילומי מסך, שם המחשב, שם הרשת המקומית ויחסי אמון של Active Directory המאפשרים לארגונים לשתף משתמשים ומשאבים בין תחומים.
גרסאות קודמות של נוזקת TrueBot הוחדרו על ידי פושעי סייבר בעיקר באמצעות קבצים שצורפו לדוא"ל דיוג. גרסאות חדשות יותר מאפשרות לפושעי סייבר להשיג גישה ראשונית גם באמצעות ניצול פגיעות של ביצוע קוד מרחוק באפליקציית Netwrix Auditor. הדבר מאפשר לפושעי הסייבר לפרוס את הנוזקה בסביבת המחשוב שנפרצה. באמצעות ניצול פגיעות האבטחה הזו יכולים פושעי סייבר להשיג גישה ראשונית, כמו גם את היכולת לנוע לרוחב בתוך הרשת שנפרצה.
על מנת להימנע מכופרה במערכת המחשוב מומלץ: לחסום צורות כניסה נפוצות ולבנות תוכנית לתיקון פגיעויות אבטחה במערכות הפונות לאינטרנט; להשבית או להקשיח את האבטחה סביב גישה מרחוק כמו RDP ו- VPN; עצירת איומי סייבר בכלל ואיומי כופרה בפרט מוקדם ככל האפשר לפני שאלו יכולים אפילו לחדור או להדביק את נקודות הקצה של מערכת המחשוב; שימוש בתוכנת אבטחת נקודות קצה אשר יכולה למנוע החדרת נוזקות המשמשות להפעלת כופרה; יצירת קשיים לפושעי סייבר לפעול בתוך הארגון על ידי פילוח רשתות והקצאה זהירה של זכויות גישה; שימוש ב- EDR או ב- MDR כדי לזהות פעילות חריגה לפני מתרחשת מתקפת כופרה; פריסת תוכנת זיהוי ותגובה של נקודות קצה המשתמשת במספר טכניקות זיהוי שונות כדי לזהות כופרה ולשחזר קבצי מערכת פגומים; שמירת גיבויים מחוץ לאתר ובאופן בלתי מקוון, מחוץ להישג ידם של האקרים ופושעי סייבר אחרים. מומלץ גם לבדוק את הגיבויים באופן קבוע כדי לוודא שחזור מהיר ויעיל של פונקציות עסקיות חיוניות; לאחר בידוד הפריצה והפסקת מתקפת הכופרה יש להסיר כל זכר לפושעי הסייבר, הכלים שלהם ושיטות הכניסה שלהם, כדי להימנע מתקיפה נוספת באותה דרך.
