Co może nowy ransomware RAA? Dużo!
2016-09-16 00:36
Ransomware RAA atakuje cele biznesowe © pichetw - Fotolia.com
Przeczytaj także: WildFire - nowy ransomware z polskim akcentem
Pierwsze doniesienia o pojawieniu się RAA pochodzą z czerwca bieżącego roku. Szkodnik ten zasłynął z tego, iż był pierwszym znanym szkodliwym oprogramowaniem ransomware, które w całości zostało napisane na platformie JScript. Dwa miesiące później specjaliści z Kaspersky Lab natknęli się na jego nową wersję. Analogicznie do poprzedniej, atakuje ona swoje cele poprzez pocztę e-mail, teraz jednak szkodliwy kod kryje się w zabezpieczonym hasłem archiwum zip., co najwyraźniej ma być sposobem na wywiedzenie w pole antywirusów, które mogą mieć trudności ze zbadaniem zawartości chronionego archiwum.Analizując wiadomości e-mail, eksperci z Kaspersky Lab stwierdzili, że celem oszustów nie są użytkownicy domowi, a raczej firmy: ofiary otrzymywały szkodliwe wiadomości e-mail zawierające informacje odnośnie zaległej płatności od dostawcy. Aby dodać wiadomościom e-mail wiarygodności, oszuści informowali, że ze względów bezpieczeństwa załączony plik został zabezpieczony (hasło do archiwum zostało podane na końcu wiadomości e-mail) i jest dodatkowo chroniony przy pomocy szyfrowania asymetrycznego. Taka informacja brzmi niedorzecznie dla osób świadomych kwestii cyberbezpieczeństwa, ale zwiększa zaufanie do wiadomości wśród niedoświadczonych użytkowników.
Dalszy proces infekcji wygląda podobnie jak w przypadku wcześniejszej wersji oprogramowania ransomware RAA. Użytkownik uruchamia plik .js, który rozpoczyna szkodliwy proces. Aby odwrócić uwagę ofiary, trojan wyświetla fałszywy dokument tekstowy, który zawiera losowy zestaw znaków. Podczas gdy ofiara próbuje zrozumieć, co się dzieje, w tle RAA szyfruje pliki. Na koniec szkodnik umieszcza na pulpicie informację o okupie, a wszystkie zaszyfrowane pliki uzyskują nowe rozszerzenie .locked.
Główna różnica w porównaniu z poprzednią wersją polega na tym, że RAA nie musi już komunikować się z cyberprzestępczym serwerem kontroli w celu zaszyfrowania plików na komputerze ofiary. Zamiast żądać klucza głównego z serwera, trojan generuje, szyfruje i przechowuje go na zainfekowanej maszynie. Cyberprzestępcy posiadają prywatny klucz umożliwiający odkodowanie zaszyfrowanego unikatowego klucza głównego. Gdy okup zostanie zapłacony, przestępcy żądają od użytkownika wysłania zaszyfrowanego klucza głównego, który zostanie zwrócony w postaci odszyfrowanej wraz z oprogramowaniem deszyfrującym. Ten schemat działania został prawdopodobnie zastosowany po to, by szkodliwe oprogramowanie mogło zaszyfrować maszyny, które nie mają dostępu do internetu.
fot. pichetw - Fotolia.com
Ransomware RAA atakuje cele biznesowe
Co gorsza, wraz z oprogramowaniem ransomware RAA ofiara otrzymuje również trojana Pony. Trojan ten potrafi kraść hasła ze wszystkich klientów poczty e-mail oraz wysyłać je do cyberprzestępców. Posiadanie tych haseł oznacza, że oszuści mogą rozprzestrzeniać swoje szkodliwe oprogramowanie „w imieniu” użytkowników zainfekowanych maszyn, dzięki czemu mogą znacznie łatwiej przekonać ofiarę, że dany e-mail nie jest szkodliwy. Z firmowej poczty ofiary szkodnik może rozprzestrzeniać się do wszystkich kontaktów biznesowych na liście. Z tego miejsca oszuści mogą wybrać interesujące ich kontakty i przeprowadzić ataki ukierunkowane.
„Uważamy, że trojan RAA został stworzony w celu przeprowadzania ataków ukierunkowanych na firmy. Połączenie oprogramowania ransomware oraz programu kradnącego hasła to niebezpieczna mieszanka w rękach cyberprzestępców, zwiększająca szanse na uzyskanie pieniędzy. Głównie z okupu, który zaatakowana firma zapłaci za odszyfrowanie danych, a pośrednio również od nowych potencjalnych ofiar, które mogą zostać zaatakowane przy użyciu danych uwierzytelniających zgromadzonych przez trojana Pony. Ponadto, umożliwiając szyfrowanie offline, nowa wersja RAA zwiększa poziom zagrożenia” – powiedział Fiedor Sinicyn, starszy analityk szkodliwego oprogramowania, Kaspersky Lab.
Porady bezpieczeństwa
Aby zmniejszyć ryzyko infekcji, firmy powinny zastosować się do następujących zaleceń:
- Wykorzystywać skuteczne technologie bezpieczeństwa punktów końcowych oraz rozwiązania antywirusowe, pilnując, aby wszystkie funkcje proaktywne i heurystyczne były włączone.
- Szkolić swoich pracowników w zakresie świadomości cyberbezpieczeństwa.
- Nieustannie uaktualniać oprogramowanie na maszynach firmowych.
- Regularnie wykonywać audyty bezpieczeństwa.
- Przed otwarciem plików zwracać uwagę na ich rozszerzenia. Potencjalnie niebezpieczne rozszerzenia to: .exe, .hta, .wsf, .js.
- Zachować zdrowy rozsądek i podchodzić krytycznie do wszystkich wiadomości e-mail otrzymywanych od nieznanych nadawców.
Według badania dot. korporacyjnych zagrożeń bezpieczeństwa IT w 2016 r. 18% firm z Europy doświadczyło ataku przy użyciu oprogramowania ransomware w ciągu ostatnich 12 miesięcy. Aby pomóc firmom zmniejszyć ryzyko infekcji przy użyciu ransomware, Kaspersky Lab udostępnił darmowe narzędzie Anti-Ransomware Tool for Business.
Obecnie szkodliwy program RAA rozprzestrzenia się głównie wśród użytkowników rosyjskojęzycznych, jednak w przyszłości cyberprzestępcy mogą zacząć stosować go globalnie.
Produkty firmy Kaspersky Lab wykrywają wszystkie znane modyfikacje oprogramowania ransomware RAA oraz trojana kradnącego hasła Pony pod następującymi nazwami: Trojan-Ransom.JS.RaaCrypt , Trojan-PSW.Win32.Tepfer.
oprac. : eGospodarka.pl
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)