0
Det Afholde ransomware bemærk, komplet med ‘gode råd’ om, hvordan man ikke bliver offer for fremtidige angreb.
Billede: Proofpoint
En nyopdaget form af ransomware er rettet mod organisationer med skræddersyet phishing-e-mails, som kræver en enorm løsesum fra ulykkelige ofre.
Ransomware er blevet døbt ‘Dækning’ af forskerne på Proofpoint, der afslørede det. Det navn, der er baseret på command-and-control server host i den første observeret angreb: ‘defrayable-lister”.
Det er et passende navn for denne nye ransomware stamme, fordi at ‘afholde’ betyder at give penge til at betale en omkostning eller udgift, og den malware krav $5.000 til at blive betalt i bitcoin i bytte for at dekryptere filer. Dette er en langt højere gebyr, end der er opkrævet ved de fleste former for ransomware.
Kampagnen er primært rettet mod sundhed og uddannelse organisationer i USA og STORBRITANNIEN. Men angrebene har været set i produktion og teknologi sektorer; andre typer af organisationer-herunder et akvarium — har også været påvirket.
Ligesom mange ransomware angreb, den kampagne, der bruger phishing-e-mails med en vedhæftet fil i Microsoft Word for at distribuere ondsindet payload. Men snarere end ved hjælp af masse-spam, som andre former for ransomware, dem, der står bag Dækning er at tilpasse budskaber til specifikke mål, med nogle kampagner, der kun består af en håndfuld e-mails.
En bestemt kampagne rettet mod en unavngiven hospital, foregav at være fra direktøren for information management og teknologi, og forsøgte at distribuere ransomware via en inficeret Word-fil, der hævder at indeholde patienten rapporter — komplet med hospitalets logo i dokumentet.
Lokke dokument, der anvendes i en Afholde angreb et hospital.
Billede: Proofpoint
Angriberne brugte samme taktik i et forsøg på at inficere mål i produktion og teknologi sektorer, sende e-mails angiveligt indeholder citater, der er relateret til en aftale, med skadelig eksekverbar igen i et Word-dokument.
Dem, der står bag Afholde endda specifikt tilpasset en kampagne for at målrette et UK-baseret akvarium, med et lokkemiddel, der påstås at være fra en repræsentant i en af sine internationale steder.
Lokke dokument, der anvendes i en Afholde angreb mod et akvarium.
Billede: Proofpoint
Disse eksempler viser, at angriberne lægger tid og kræfter i at forberede deres onde ordninger, hvilket indikerer, at der Især er arbejdet af en højt organiseret cyberkriminelle drift.
Se også: Ransomware: executive-guide til en af de største trusler på nettet
Det er uklart, om nogen af de målrettet organisationer, der faktisk blev smittet med Dækning, men ransomware vil implementere og udføre, hvis offeret dobbelt-klik på den eksekverbare fil i Word-dokumentet. Ofrets filer bliver derefter krypteret og en løsesum bemærk præsenteres.
Noten fortæller offeret, at “læse dette, og kontakt en person fra IT-afdelingen”, og detaljer, hvad ransomware er, og hvad der er sket. Den del af den note, der er designet til at blive læst af IT-fagfolk hævder også, at ransomware bruger AES-256 kryptering, og at der er ingen måde at få filer tilbage uden at betale $5.000 løsesum.
Frækt, bemærk også, anbefaler offeret til at bruge offline back ups for at undgå, at det næste gang”.
Til at betale den løsesum, offeret opfordres til at kontakte en af tre e-mail-adresser-en, Schweiziske, en russisk og en tysk-eller at kontakte angribere via BitMessage “i tilfælde af, at vi ikke reagerer inden for en dag”.
Ud over at holde filer som gidsel, forskere advarer om, at Dækning kan også deaktivere start recovery og slette øjebliksbilleder af filer. På Windows 7, ransomware også overvåger og dræber programmer, der kører med en GUI, såsom task manager og browsere, selv om denne adfærd ikke er replikeret på Windows XP.
Det vides ikke, hvem der står bag Dækning, men forskere venligst gruppen er tilbøjelige til at være brugertilpasning af lokker og opladning sådan en høj løsesum efterspørgsel, da de ser det som den letteste måde at tjene penge så hurtigt som muligt.
“Ransomware er om return on investment: at tjene penge på minimale omkostninger. Angribere har fundet, at højt tilpassede meddelelser tilbyde bedre økonomisk afkast af deres kampagner-noget marketingfolk har været brugt i årtier til at forbedre reaktion priser,” Kevin Epstein, VP Trussel Operations Center på Proofpoint fortalte ZDNet.
I kølvandet af den globale spredning af WannaCry ransomware, og den efterfølgende Petya udbrud, cyberkriminelle synes at være at sætte i en stor indsats i at udvikle særligt virulente stammer af ransomware.
Forskere har for nylig afsløret en ny stamme af Spora ransomware, som, ud over at afpresse en løsesum fra ofrene, også stjæler deres legitimationsoplysninger.
Relaterede dækning
Hvordan Bitcoin bidraget til at forstærke en eksplosion i ransomware angreb
Sikker betaling system Bitcoin har mange legitime anvendelser, men ligesom andre teknologier, det har også været gavnligt for it-kriminelle, der søger nye måder at presse penge.
Phishing: Ville du falder for en af disse scam mails?
Der er stadig masser mere phish i havet, som arbejderne ikke kan stoppe med at klikke på scam mails. Ville disse dem narre dig?
LÆS MERE OM IT-KRIMINALITET
Ransomware: smart person ‘ s guide [TechRepublic] Efter WannaCry, ransomware vil blive værre før det bliver bedre i hele Verden ransomware hack hits hospitaler, telefon selskaber, [CNET]Ransomware skylden for cyber-angreb, som har tvunget hospitaler for at annullere operationer og lukker ned systemsNo mere ransomware: Hvordan en hjemmeside er at stoppe crypto-låsning skurke i deres spor
0