0
De Stå ransomware obs, komplett med “rådgivning” på hur man inte faller offer för framtida attacker.
Bild: Proofpoint
En nyupptäckt form av ransomware är inriktade organisationer med skräddarsydda phishing e-post, kräver en stor lösensumma från olyckliga offer.
Den ransomware som har kallats ‘Täcka’ av forskare vid Proofpoint som avslöjade det. Namnet är baserat på kommando-och-kontroll-server som värd i den första observerade attack: ‘defrayable-listor”.
Det är ett passande namn för denna nya ransomware stam, eftersom att ” stå ” betyder att ge pengar för att betala en kostnad eller utgift, och malware krav $5000 betalt i bitcoin i utbyte för att dekryptera filer. Detta är en mycket högre avgift än vad som tas ut av de flesta former av ransomware.
Kampanjen är i första hand inriktade hälso-och sjukvård och utbildning organisationer i USA och STORBRITANNIEN. Men attacker har skett i tillverkningsindustrin och it-sektorn, andra typer av organisationer-inklusive ett akvarium — som också har drabbats.
Som många ransomware attacker, kampanjen använder phishing e-post med en bifogad fil i Microsoft Word för att sprida den skadliga koden. Men istället för att använda massa spam, liksom andra former av ransomware, de som står bakom Täcka anpassar meddelanden för specifika mål, med vissa kampanjer bestående av endast en handfull av e-post.
En särskild kampanj som riktar sig till en icke namngiven sjukhus påstods vara från direktören för information management och teknik, och försökt att distribuera ransomware via en infekterad fil i Word som hävdar att innehålla patient rapporterar — komplett med sjukhusets logotyp i dokumentet.
Lure dokument som används i en Täcka en attack mot ett sjukhus.
Bild: Proofpoint
Angriparna använde liknande taktik i ett försök att infektera mål inom tillverkningsindustrin och it-sektorn, skicka e-post förmodligen innehåller citat hänför sig till en affär, med skadlig körbar igen i ett Word-dokument.
De som står bakom Täcka även specifikt skräddarsydd kampanj för att rikta en UK-baserade akvarium, med ett drag som utger sig för att vara från en representant på en av dess internationella platser.
Lure dokument som används i en Täcka en attack mot ett akvarium.
Bild: Proofpoint
Dessa exempel visar att angriparna lägger tid och energi på att förbereda sin brottsliga system, vilket indikerar att Täcka är en mycket organiserad cybercriminal drift.
Se även: Ransomware: En verkställande guide till en av de största hot på webben
Det är oklart om någon av de inriktade organisationer som faktiskt blev smittad med att Täcka, men ransomware kommer att driftsätta och köra om offret dubbel-klickar på den körbara fil i Word-dokument. Offrets filer är då krypterad och en gisslan anteckning är presenterade.
Anger den skadelidande i “läs det här och kontakta någon från IT-avdelningen” och detaljer vad ransomware är och vad som har hänt. Den del av den not som är avsedda att läsas av IT-proffs hävdar också att den ransomware använder AES-256 kryptering och att det finns inget sätt att få tillbaka filerna utan att betala $5 000 lösen.
Fräckt, not rekommenderar också offer för användning offline back-ups för att “förhindra detta nästa gång”.
För att betala lösen, offret är ombedd att kontakta en av tre e-postadresser — en Schweizisk, en rysk och en tysk — eller för att kontakta angriparna via BitMessage “om vi inte svarar inom en dag”.
Förutom att hålla filer som gisslan, forskare varnar för att Täcka kan också inaktivera start återställning och ta bort skugga kopior av filer. På Windows 7 ransomware också övervakar och dödar köra program med ett GUI, som task manager och webbläsare, även om detta beteende är inte replikeras på Windows XP.
Det är inte känt vem som ligger bakom att Täcka, men forskare not koncernen är sannolikt att anpassa beten och laddning till exempel en hög lösensumma krav som de ser det som det enklaste sättet att tjäna pengar så snabbt som möjligt.
“Ransomware är om avkastning på investeringar: att göra pengar till en minimal kostnad. Angriparna har funnit att mycket anpassade meddelanden erbjuda en bättre ekonomisk avkastning på sina kampanjer-något som marknadsförare har använt i decennier för att förbättra svarsfrekvensen,” Kevin Epstein, vd för Hot Operations Center vid Proofpoint berättade ZDNet.
I efterdyningarna av den globala spridningen av WannaCry ransomware, och den efterföljande Petya utbrott, cyberbrottslingar verkar vara att lägga en hel del kraft på att utveckla särskilt onda stammar av ransomware.
Forskare har nyligen upptäckt en ny stam av Spora ransomware, som förutom att framtvinga en lösensumma från offren, även stjäl deras autentiseringsuppgifter.
Relaterade täckning
Hur Bitcoin har hjälpt till att underblåsa en explosion i ransomware attacker
Säker betalning system Bitcoin har många legitima användningsområden, men i likhet med andra tekniker, det har också varit positiva till it som söker nya sätt att pressa pengar.
Phishing: Skulle du falla för en av dessa bluff e-post?
Det finns fortfarande mycket mer phish i havet, som arbetstagare kan inte sluta att klicka på bluff e-post. Skulle dessa trick du?
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Ransomware: smart person ‘ s guide [TechRepublic] Efter WannaCry, ransomware kommer att bli värre innan det blir bättre över hela Världen ransomware hacka träffar sjukhus, telefon företag [MAG]Ransomware skulden för den cyberattack som tvingade sjukhus för att avbryta verksamheten och stänga systemsNo mer ransomware: Hur en hemsida är att stoppa crypto-låsning skurkar i deras spår
0