eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plWiadomościTechnologieInternetRansomware: Trash Panda i powrót NoCry

Ransomware: Trash Panda i powrót NoCry

2023-10-23 13:41

Ransomware: Trash Panda i powrót NoCry

Trash Panda © fot. mat. prasowe

Eksperci z FortiGuard Labs donoszą o pojawieniu się nowych typów ransomware. Nowe zagrożenia to Trash Panda oraz nowy wariant NoCry. Zostały określone jako "wysoce niebezpieczne" przede wszystkim dla użytkowników Microsoft Windows. Oto wnioski z analizy tych cyberzagrożeń.

Przeczytaj także: Atak ransomware: płacić okup czy nie płacić?

Ataki ransomware uznawane są za najbardziej dochodową formę działania cyberprzestępców. Według raportu International Data Corporation z 2021 roku, przeciętna wysokość żądanego okupu to ok. ćwierć miliona dolarów. Najwyższa zanotowana kwota wyniosła zaś 4,5 miliona dolarów i została opłacona przez firmę CWT Global w 2020 roku. Schemat ataku ransomware zazwyczaj wygląda podobnie – polega na zaszyfrowaniu plików na zainfekowanym urządzeniu, a następnie domaganiu się przez cyberprzestępców okupu za udostępnienie klucza deszyfrującego. W taki sposób funkcjonują również warianty NoCry oraz TrashPanda.

Nie tylko motyw finansowy – nietypowe żądania twórców Trash Panda


Pierwsze przypadki użycia do ataku złośliwego oprogramowania Trash Panda zostały zarejestrowane na początku sierpnia 2023 roku. Po zainfekowaniu urządzenia program wprost informuje użytkownika za pomocą wiersza poleceń, że jego pliki są właśnie szyfrowane. Trash Panda zmienia również tapetę na pulpicie. W przypadku tego rodzaju ransomware cyberprzestępcy nie domagają się opłaty za przywrócenie danych. Stawiane przez nich warunki są bardziej enigmatyczne, z wyraźnym politycznym zabarwieniem. Mowa w nich m.in. o uwolnieniu członków rodziny autorów oprogramowania. Ofiara ma ograniczony czas na podjęcie kontaktu z napastnikami, a jeśli tego nie zrobi, jej pliki zostaną trwale usunięte. Oprogramowanie Trash Panda jest obecnie poddawane analizie na podstawie próbek zgromadzonych w Stanach Zjednoczonych oraz Czechach.

fot. mat. prasowe

Trash Panda

Po zainfekowaniu urządzenia program wprost informuje użytkownika za pomocą wiersza poleceń, że jego pliki są właśnie szyfrowane. Trash Panda zmienia również tapetę na pulpicie.


NoCry – kryptowaluty i fałszywe przedsiębiorstwo


Pierwsze wzmianki o NoCry pojawiły się w kwietniu 2021 roku. Generalną, możliwą do zaobserwowania tendencją w postępowaniu twórców tego oprogramowania jest dystrybucja jego wariantów za pośrednictwem komunikatora Telegram. Najnowsza wersja NoCry była jednak hostowana na stronie internetowej, której adres URL zawierał nazwę prywatnego banku z Indii. Wszystko wskazuje więc, że w tym przypadku cyberprzestępcy polegali na dezorientowaniu swoich ofiar i dawaniu im fałszywego przekonania, iż pobierają plik z bezpiecznego, legalnego źródła.

Po uruchomieniu NoCry, oprogramowanie szyfruje pliki na zainfekowanym urządzeniu, dodaje do nich rozszerzenie „.rcry”, a następnie wyświetla żądanie okupu. Wyróżniającym aspektem działania autorów NoCry jest waluta, w jakiej opłacony miałby zostać okup, czyli USDT-TRC20 (Tether). Jest to jedna z popularniejszych kryptowalut wśród tzw. stablecoinów. Ich cechą charakterystyczną jest powiązanie z konkretną, tradycyjną jednostką pieniężną, pozwalające na wymianę 1:1. W przypadku USDT jest to dolar amerykański.

Podobnie jak w trakcie ataku Trash Panda, na urządzeniu ofiary NoCry wyświetla się wiadomość z informacją, że zostało ono zainfekowane. Ma ona ograniczony czas na zapłacenie przestępcom wskazanej przez nich kwoty. W przypadku opóźnienia wysokość okupu wzrośnie, a jego nieopłacenie wiąże się z ryzykiem trwałego usunięcia danych. W wiadomości umieszczony jest również link prowadzący do strony kalifornijskiego przedsiębiorstwa zajmującego się cyberbezpieczeństwem. Aby skorzystać z usług oferowanych przez firmę, użytkownicy muszą uiścić opłatę w walucie USDT na podany adres portfela. Według analityków z FortiGuard Labs na podstawie tych informacji można przypuszczać, że osoby stojące za NoCry stworzyły fikcyjne przedsiębiorstwo lub stronę internetową, aby zastawić więcej pułapek na nieświadomych użytkowników. Podobnie jak w przypadku Trash Panda, to oprogramowanie również jest obecnie poddawane analizie przy wykorzystaniu próbek ze Stanów Zjednoczonych oraz Malezji.

Czy należy płacić okup?


W przypadku zainfekowania urządzenia złośliwym oprogramowaniem stanowczo odradzane jest płacenie okupu i spełnianie żądań cyberprzestępców. Wiąże się to z faktem, że zapłacenie okupu nie stanowi gwarancji odzyskania zaszyfrowanych danych. Ponadto, przesłanie atakującym pieniędzy daje im informację zwrotną o tym, że obrana taktyka działa, co może skutkować zwiększeniem liczby ataków. Ofiarom ataków ransomware doradza się odwiedzenie oferującej wsparcie strony NoMoreRansom.org, która dostępna jest także w polskiej wersji językowej. Dostępne są na niej narzędzie umożliwiające odszyfrowanie danych zakodowanych przez niektóre rodzaje oprogramowania ransomware. Natomiast jeśli nie oferuje ona dekryptora rozwiązującego dany problem, zaleca się zgłoszenie sytuacji do Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT NASK.

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (0)

DODAJ SWÓJ KOMENTARZ

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: