0
Die Anfallenden ransomware beachten Sie, komplett mit ‘Beratung’, wie man nicht zum Opfer fallen, um zukünftige Angriffe.
Bild: Proofpoint
Eine neu entdeckte form von ransomware zielt auf Organisationen zugeschnittene phishing-E-Mails, fordern eine riesige Lösegeld von unglücklichen Opfer.
Die ransomware wurde als ‘Decken’, das die Forscher bei Proofpoint, aufgedeckt. Der name basiert auf dem command-and-control-server hosten, der in der ersten beobachteten Angriff: ‘defrayable-listings.
Es ist ein angemessener name für diese neue ransomware-Sorte, weil Sie zu ‘tragen’ Mittel, um Geld zu bezahlen, Kosten oder Ausgaben, und die malware verlangt von $5.000 zu bezahlen in Bitcoins im Austausch für die Entschlüsselung der Dateien. Dies ist eine viel höhere Gebühr als berechnet, sind die meisten Formen von ransomware.
Die Kampagne ist in Erster Linie Ausrichtung der Gesundheitsversorgung und der Bildung von Organisationen in den USA und Großbritannien. Aber die Angriffe wurden in der Fertigungs-und Technologie-Branchen; andere Arten von Organisationen — einschließlich eine aquarium-betroffen waren.
Wie viele ransomware-Attacken, die Kampagne nutzt phishing-E-Mails mit einem Microsoft Word-Anhang verteilen, um die schädliche Nutzlast. Aber anstatt mit Masse spamming, wie andere Formen von ransomware, die hinter Decken sind Anpassung von Nachrichten für bestimmte Ziele, mit einigen Kampagnen, bestehend aus nur einer Handvoll von E-Mails.
Eine Besondere Kampagne mit der Ausrichtung auf eine Unbenannte Krankenhaus angeblich aus der director of information management and technology, und versuchte, sich zu verteilen ransomware über eine infizierte Word-Datei zu fordern, zu enthalten, Patienten-Berichte-mit der Krankenhaus-logo in das Dokument ein.
Die locken Dokument, das verwendet ist, die in eine Decken-Angriff auf ein Krankenhaus.
Bild: Proofpoint
Angreifer verwendet eine ähnliche Taktik in einem Versuch zu infizieren Ziele in der Fertigungs-und Technologie-Branchen, versenden von E-Mails, die vermeintlich mit Anführungszeichen in Bezug auf einen deal, mit dem schädliche ausführbare Datei wieder in eine Word-Dokument.
Diejenigen, die hinter Decken sogar eigens eine maßgeschneiderte Kampagne, um das Ziel einer UK-Basis-aquarium, mit locken, die angeblich von einem Vertreter an einem Ihrer internationalen Standorte.
Die locken Dokument, das verwendet ist, die in eine Decken-Angriff gegen ein aquarium.
Bild: Proofpoint
Diese Beispiele zeigen, dass die Angreifer setzen Sie Zeit und Mühe in die Vorbereitung Ihrer schändlichen Intrigen, die angibt, dass die Anfallenden ist das Werk eines hoch-organisierten Internetkriminellen Betrieb.
Siehe auch: Ransomware: executive guide zu einer der größten Bedrohungen im web
Es ist unklar, ob jede der angesprochenen Organisationen tatsächlich infiziert wurde, mit Decken, aber die ransomware wird implementiert und ausgeführt werden, wenn das Opfer einen Doppelklick auf die ausführbare Datei in das Word-Dokument. Die Opfer sind die Dateien dann verschlüsselt und ein Lösegeld-Hinweis ist vorgestellt.
Der Hinweis sagt das Opfer, “Lesen Sie dies und Kontaktieren Sie jemanden aus der IT-Abteilung” und details, was ransomware ist und was passiert ist. Der Abschnitt der Hinweis, entworfen, um gelesen werden von IT-Experten auch behauptet, dass die ransomware verwendet AES-256-Verschlüsselung und dass es keinen Weg, um Dateien wieder ohne zu bezahlen die $5.000 Lösegeld.
Frech, der Hinweis empfiehlt auch das Opfer offline-back-ups, um “zu verhindern, das nächste mal”.
Das Lösegeld zu bezahlen, das Opfer wird gebeten sich an eine der drei E-Mail-Adressen — ein Schweizer, ein russe und eine Deutsche-oder, um Kontakt mit dem Angreifer über BitMessage “wenn wir nicht reagieren, werden innerhalb von einem Tag”.
Zusätzlich zu halten Dateien, Geisel, Forscher warnen, dass die Decken können auch deaktivieren Sie die startup-recovery und löschen Schattenkopien von Dateien. Auf Windows 7, die ransomware auch überwacht und tötet ausführen von Programmen mit einer GUI, wie z.B. den task-manager und Browser, obwohl dieses Verhalten nicht repliziert, die auf Windows XP.
Es ist nicht bekannt, wer hinter Decken, aber die Forscher beachten Sie die Gruppe ist wahrscheinlich die Anpassung der Köder und laden so ein hohes Lösegeld verlangen, wie Sie sehen, es ist der einfachste Weg, um Geld zu verdienen, so schnell wie möglich.
“Ransomware ist über return-on-investment: Geld, bei minimalen Kosten. Angreifer haben festgestellt, dass sehr individuelle Nachrichten bieten bessere Rendite auf Ihre Kampagnen-etwas, Vermarkter haben seit Jahrzehnten zur Verbesserung der response-raten,” Kevin Epstein, Vice President der Threat Operations Center ” Proofpoint sagte ZDNet.
In den Nachwehen der globalen Verbreitung von WannaCry ransomware, und die anschließende Petya Ausbruch, Cyberkriminelle zu sein scheinen, setzen eine Menge Anstrengungen in die Entwicklung von besonders bösartigen Stämme von ransomware.
Forscher vor kurzem entdeckt eine neue Sorte von Spora ransomware, die, zusätzlich zu erpressen ein Lösegeld von opfern, auch Stiehlt Ihre Anmeldeinformationen.
Verwandte coverage
Wie Bitcoin schürte eine explosion in der ransomware-Angriffe
Sichere Zahlungssystem Bitcoin hat viele legitime verwendet, aber wie bei anderen Technologien, es ist auch von Vorteil für Cyberkriminelle auf der Suche nach neuen Möglichkeiten, um Geld zu erpressen.
Phishing: Würden Sie fallen für eine dieser Betrug-E-Mails?
Es gibt noch viel mehr phish in das Meer, als Arbeitnehmer kann nicht aufhören zu klicken auf Betrug E-Mails. Würde diese trick?
LESEN SIE MEHR ÜBER CYBERKRIMINALITÄT
Ransomware: Der intelligente person ‘ s guide [TechRepublic] Nach WannaCry, ransomware wird noch schlimmer, bevor es besser wird Weltweit ransomware hack trifft, Krankenhäuser, Telefon-Unternehmen [CNET]Ransomware Schuld für cyber-Angriff Zwang die Krankenhäuser zu stornieren, Betrieb und Herunterfahren systemsNo mehr ransomware: Wie eine website stoppen den crypto-locking-Gauner Ihre Spuren
0