Questo nuovo e costoso ransomware obiettivi di organizzazioni appositamente predisposto phishing

0
147

0

defray-ransomware-note.png

Il Sostenimento di ransomware nota, completo di “consigli” su come non cadere vittima di attacchi futuri.

Immagine: Proofpoint

La scoperta di una nuova forma di ransomware è il targeting per le organizzazioni con su misura-mail di phishing, chiedendo un enorme riscatto sfortunate vittime.

Il ransomware è stata soprannominata la ‘Coprire’ dai ricercatori della Proofpoint che l’ha scoperto. Il nome è basato su quello del comando-e-controllo server host in primo luogo osservato attacco: ‘defrayable-annunci”.

È un nome appropriato per questa nuova ransomware ceppo, perché, per ‘coprire’ i mezzi per fornire i soldi per pagare un costo o spesa, e il malware richieste di $5.000 a essere pagato in bitcoin in cambio di decifrare i file. Questo è un molto più alto costo che viene addebitato dalla maggior parte delle forme di ransomware.

La campagna è destinata in primo luogo la sanità e l’istruzione organizzazioni in USA e UK. Tuttavia, gli attacchi sono stati visti nella produzione e settori tecnologici; altri tipi di organizzazioni-tra cui un acquario, sono stati colpiti anche.

Come molti attacchi ransomware, la campagna utilizza la e-mail di phishing con un allegato di Microsoft Word in modo da distribuire il payload dannoso. Ma piuttosto che usare spamming di massa, come altre forme di ransomware, quelli dietro di rimborso sono di personalizzare i messaggi per obiettivi specifici, con alcune campagne che consiste solo di una manciata di messaggi di posta elettronica.

Una particolare campagna di targeting un anonimo ospedale con la pretesa di essere il direttore di gestione delle informazioni e della tecnologia, e ha tentato di distribuire ransomware via infetti file di Word che sostiene contenere rapporti paziente-completo con l’ospedale logo del documento.

defray-hospital-lure.png

Il richiamo al documento utilizzato in un a Sostenere un attacco contro un ospedale.

Immagine: Proofpoint

Aggressori hanno utilizzato tattiche simili, nel tentativo di infettare gli obiettivi, la produzione e i settori della tecnologia, l’invio di e-mail presumibilmente contenenti citazioni relative a un accordo, con l’eseguibile dannoso, ancora una volta, in un documento di Word.

Chi sta dietro a Coprire anche personalizzato appositamente una campagna a destinazione con sede nel regno UNITO acquario, con un richiamo che sembra provenire da un rappresentante di una delle sue sedi internazionali.

defray-aquarium-lure.png

Il richiamo al documento utilizzato in un Sostenimento di attacco nei confronti di un acquario.

Immagine: Proofpoint

Questi esempi mostrano che gli attaccanti stanno mettendo tempo e fatica nel preparare i loro nefasti schemi, che indica che a Sostenere il lavoro di un personale altamente organizzato di criminali informatici operazione.

Vedi anche: Ransomware: Un esecutivo a guida di una delle più grandi minacce sul web

Non è chiaro se il target organizzazioni divenne effettivamente infettato da Sostenere, ma il ransomware distribuire e eseguire se la vittima doppio clic sul file eseguibile all’interno del documento di Word. La vittima, i file vengono criptati e una nota di riscatto è presentato.

La nota indica che la vittima di “leggere questo e contattare il reparto IT” e i dettagli di ciò che è ransomware è e ciò che è accaduto. La sezione della nota progettato per essere letto dai professionisti IT sostiene inoltre che il ransomware utilizza la crittografia AES-256 la crittografia e che non c’è modo di ottenere i file indietro senza pagare $5.000 riscatto.

Sfacciatamente, la nota raccomanda, inoltre, la vittima da utilizzare in linea di back up, per “prevenire questo la prossima volta”.

Per pagare il riscatto, la vittima è pregato di rivolgersi a uno dei tre indirizzi e-mail — uno Svizzero, un russo e un tedesco, o a contattare gli attaccanti via BitMessage “in caso di non risposta entro un giorno”.

Oltre a tenere i file in ostaggio, i ricercatori avvertono che Paghino anche possibile disattivare l’avvio a recupero e l’eliminazione delle copie shadow di file. In Windows 7, il ransomware, inoltre, monitora e uccide l’esecuzione di programmi con interfaccia grafica, come il task manager e browser, anche se questo comportamento non è replicato su Windows XP.

Non si sa chi c’è dietro a Coprire, ma i ricercatori nota il gruppo è probabile che sia personalizzando le esche e la carica di una così alta richiesta di riscatto, come la vedono come il modo più semplice per fare soldi il più velocemente possibile.

“Ransomware è di circa il ritorno sull’investimento: fare soldi con il minimo costo. Gli aggressori hanno trovato che altamente personalizzati e di messaggi di offrire un migliore ritorno finanziario per le loro campagne — qualcosa di marketing hanno utilizzato per decenni per migliorare i tassi di risposta,” Kevin Epstein, VP della Minaccia Centro operativo Proofpoint detto a ZDNet.

All’indomani della diffusione globale del WannaCry ransomware, e la successiva Petya scoppio, i criminali informatici sembra essere mettere un sacco di sforzo in via di sviluppo particolarmente feroce ceppi di ransomware.

I ricercatori hanno di recente scoperto un nuovo ceppo di Spora ransomware che, oltre ad estorcere un riscatto da vittime, ruba le loro credenziali.

Relativi copertura

Come Bitcoin contribuito ad alimentare un’esplosione in attacchi ransomware

Sistema sicuro di pagamento Bitcoin ha molti usi legittimi, ma, come altre tecnologie, è anche stato utile per i criminali informatici che cercano nuovi modi per estorcere denaro.

Phishing: si cade per una di queste e-mail truffa?

C’è ancora un sacco di più phish in mare, come gli operai non possono interrompere cliccando su e-mail truffa. Sarebbero questi quelli che trucco è?

PER SAPERNE DI PIÙ SULLA CRIMINALITÀ INFORMATICA

Ransomware: La persona intelligente guida [TechRepublic] Dopo WannaCry, ransomware è destinata a peggiorare prima c’è di meglio in tutto il Mondo ransomware hack colpisce gli ospedali, le compagnie telefoniche [CNET]Ransomware incolpato per i cyber attacco che ha costretto gli ospedali per le operazioni di annullamento e di chiudere systemsNo ransomware più: Come un sito web è fermare la crypto-chiusura truffatori e le loro tracce

0