Διάφορες απειλές που χρησιμοποιούν θέματα κορωνοϊού συνεχίζουν να εμφανίζονται στο διαδίκτυο. Και σήμερα θέλουμε να μοιραστούμε πληροφορίες σχετικά με ένα ενδιαφέρον παράδειγμα που δείχνει ξεκάθαρα την επιθυμία των επιτιθέμενων να μεγιστοποιήσουν τα κέρδη τους. Η απειλή από την κατηγορία «2-σε-1» αυτοαποκαλείται Coronavirus. Και λεπτομερείς πληροφορίες σχετικά με το κακόβουλο λογισμικό είναι υπό περικοπή.
Η εκμετάλλευση του θέματος του κορωνοϊού ξεκίνησε πριν από περισσότερο από ένα μήνα. Οι δράστες εκμεταλλεύτηκαν το ενδιαφέρον του κοινού για πληροφορίες σχετικά με την εξάπλωση της πανδημίας και τα μέτρα που ελήφθησαν. Ένας τεράστιος αριθμός διαφορετικών πληροφοριοδοτών, ειδικών εφαρμογών και ψεύτικων τοποθεσιών έχουν εμφανιστεί στο Διαδίκτυο που θέτουν σε κίνδυνο τους χρήστες, κλέβουν δεδομένα και μερικές φορές κρυπτογραφούν τα περιεχόμενα της συσκευής και απαιτούν λύτρα. Αυτό ακριβώς κάνει η εφαρμογή Coronavirus Tracker για κινητά, εμποδίζοντας την πρόσβαση στη συσκευή και απαιτώντας λύτρα.
Ένα ξεχωριστό ζήτημα για τη διάδοση του κακόβουλου λογισμικού ήταν η σύγχυση με τα μέτρα οικονομικής στήριξης. Σε πολλές χώρες, η κυβέρνηση έχει υποσχεθεί βοήθεια και υποστήριξη σε απλούς πολίτες και εκπροσώπους επιχειρήσεων κατά τη διάρκεια της πανδημίας. Και σχεδόν πουθενά δεν είναι απλή και διαφανής η λήψη αυτής της βοήθειας. Εξάλλου, πολλοί ελπίζουν ότι θα βοηθηθούν οικονομικά, αλλά δεν γνωρίζουν αν περιλαμβάνονται στη λίστα με αυτούς που θα λάβουν κρατικές επιδοτήσεις ή όχι. Και όσοι έχουν ήδη λάβει κάτι από το κράτος είναι απίθανο να αρνηθούν πρόσθετη βοήθεια.
Αυτό ακριβώς εκμεταλλεύονται οι επιτιθέμενοι. Στέλνουν επιστολές εκ μέρους τραπεζών, οικονομικών ρυθμιστικών αρχών και αρχών κοινωνικής ασφάλισης, προσφέροντας βοήθεια. Απλά πρέπει να ακολουθήσετε τον σύνδεσμο...
Δεν είναι δύσκολο να μαντέψει κανείς ότι αφού κάνει κλικ σε μια αμφίβολη διεύθυνση, ένα άτομο καταλήγει σε έναν ιστότοπο phishing όπου του ζητείται να εισαγάγει τα οικονομικά του στοιχεία. Τις περισσότερες φορές, ταυτόχρονα με το άνοιγμα ενός ιστότοπου, οι εισβολείς προσπαθούν να μολύνουν έναν υπολογιστή με ένα πρόγραμμα Trojan που στοχεύει στην κλοπή προσωπικών δεδομένων και, ειδικότερα, οικονομικών πληροφοριών. Μερικές φορές ένα συνημμένο email περιλαμβάνει ένα αρχείο που προστατεύεται με κωδικό πρόσβασης που περιέχει «σημαντικές πληροφορίες σχετικά με το πώς μπορείτε να λάβετε κρατική υποστήριξη» με τη μορφή spyware ή ransomware.
Επιπλέον, πρόσφατα προγράμματα από την κατηγορία Infostealer έχουν αρχίσει να διαδίδονται και στα κοινωνικά δίκτυα. Για παράδειγμα, εάν θέλετε να κατεβάσετε κάποιο νόμιμο βοηθητικό πρόγραμμα των Windows, ας πούμε το wisecleaner[.]best, το Infostealer μπορεί κάλλιστα να συνοδεύεται από αυτό. Κάνοντας κλικ στον σύνδεσμο, ο χρήστης λαμβάνει ένα πρόγραμμα λήψης που κατεβάζει κακόβουλο λογισμικό μαζί με το βοηθητικό πρόγραμμα και η πηγή λήψης επιλέγεται ανάλογα με τη διαμόρφωση του υπολογιστή του θύματος.
Κοραναϊός 2022
Γιατί περάσαμε όλη αυτή την εκδρομή; Γεγονός είναι ότι το νέο κακόβουλο λογισμικό, οι δημιουργοί του οποίου δεν σκέφτηκαν πολύ το όνομα, μόλις έχει απορροφήσει ό,τι καλύτερο και ευχαριστεί το θύμα με δύο τύπους επιθέσεων ταυτόχρονα. Στη μία πλευρά, φορτώνεται το πρόγραμμα κρυπτογράφησης (CoronaVirus) και από την άλλη, το KPOT infostealer.
Ransomware CoronaVirus
Το ίδιο το ransomware είναι ένα μικρό αρχείο μεγέθους 44 KB. Η απειλή είναι απλή αλλά αποτελεσματική. Το εκτελέσιμο αρχείο αντιγράφεται με ένα τυχαίο όνομα σε %AppData%LocalTempvprdh.exe, και ορίζει επίσης το κλειδί στο μητρώο WindowsCurrentVersionRun. Μόλις τοποθετηθεί το αντίγραφο, το πρωτότυπο διαγράφεται.
Όπως τα περισσότερα ransomware, το CoronaVirus επιχειρεί να διαγράψει τοπικά αντίγραφα ασφαλείας και να απενεργοποιήσει τη σκίαση αρχείων εκτελώντας τις ακόλουθες εντολές συστήματος:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Στη συνέχεια, το λογισμικό αρχίζει να κρυπτογραφεί αρχεία. Το όνομα κάθε κρυπτογραφημένου αρχείου θα περιέχει [email protected]__ στην αρχή και όλα τα άλλα παραμένουν ίδια.
Επιπλέον, το ransomware αλλάζει το όνομα της μονάδας δίσκου C σε CoronaVirus.
Σε κάθε κατάλογο που κατάφερε να μολύνει αυτός ο ιός, εμφανίζεται ένα αρχείο CoronaVirus.txt, το οποίο περιέχει οδηγίες πληρωμής. Τα λύτρα είναι μόνο 0,008 bitcoin ή περίπου 60 $. Πρέπει να πω ότι αυτό είναι ένα πολύ μέτριο νούμερο. Και εδώ το θέμα είναι είτε ότι ο συγγραφέας δεν έβαλε στόχο να γίνει πολύ πλούσιος... είτε, αντίθετα, αποφάσισε ότι αυτό ήταν ένα εξαιρετικό ποσό που θα μπορούσε να πληρώσει κάθε χρήστης που κάθεται στο σπίτι σε απομόνωση. Συμφωνώ, αν δεν μπορείτε να βγείτε έξω, τότε τα 60 $ για να λειτουργήσει ξανά ο υπολογιστής σας δεν είναι τόσο πολλά.
Επιπλέον, το νέο Ransomware γράφει ένα μικρό εκτελέσιμο αρχείο DOS στον φάκελο προσωρινών αρχείων και το καταχωρεί στο μητρώο κάτω από το κλειδί BootExecute, ώστε οι οδηγίες πληρωμής να εμφανίζονται την επόμενη φορά που θα γίνει επανεκκίνηση του υπολογιστή. Ανάλογα με τις ρυθμίσεις του συστήματος, αυτό το μήνυμα ενδέχεται να μην εμφανίζεται. Ωστόσο, αφού ολοκληρωθεί η κρυπτογράφηση όλων των αρχείων, ο υπολογιστής θα επανεκκινηθεί αυτόματα.
KPOT infotealer
Αυτό το Ransomware συνοδεύεται επίσης από λογισμικό κατασκοπείας KPOT. Αυτό το infostealer μπορεί να κλέψει cookies και αποθηκευμένους κωδικούς πρόσβασης από μια ποικιλία προγραμμάτων περιήγησης, καθώς και από παιχνίδια που είναι εγκατεστημένα σε υπολογιστή (συμπεριλαμβανομένου του Steam), του Jabber και των άμεσων μηνυμάτων Skype. Η περιοχή ενδιαφέροντός του περιλαμβάνει επίσης λεπτομέρειες πρόσβασης για FTP και VPN. Έχοντας κάνει τη δουλειά του και κλέβει ό,τι μπορεί, ο κατάσκοπος διαγράφεται με την ακόλουθη εντολή:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Δεν είναι πια μόνο Ransomware
Αυτή η επίθεση, για άλλη μια φορά συνδεδεμένη με το θέμα της πανδημίας του κορωνοϊού, αποδεικνύει για άλλη μια φορά ότι το σύγχρονο ransomware επιδιώκει να κάνει περισσότερα από την απλή κρυπτογράφηση των αρχείων σας. Σε αυτήν την περίπτωση, το θύμα διατρέχει τον κίνδυνο κλοπής κωδικών πρόσβασης σε διάφορους ιστότοπους και πύλες. Οι άκρως οργανωμένες ομάδες κυβερνοεγκληματιών, όπως οι Maze και DoppelPaymer, έχουν καταφέρει να χρησιμοποιούν κλεμμένα προσωπικά δεδομένα για να εκβιάζουν τους χρήστες εάν δεν θέλουν να πληρώσουν για την ανάκτηση αρχείων. Πράγματι, ξαφνικά δεν είναι τόσο σημαντικά ή ο χρήστης έχει ένα εφεδρικό σύστημα που δεν είναι επιρρεπές σε επιθέσεις Ransomware.
Παρά την απλότητά του, ο νέος CoronaVirus καταδεικνύει ξεκάθαρα ότι οι εγκληματίες του κυβερνοχώρου επιδιώκουν επίσης να αυξήσουν το εισόδημά τους και αναζητούν πρόσθετα μέσα δημιουργίας εσόδων. Η ίδια η στρατηγική δεν είναι καινούργια - εδώ και αρκετά χρόνια, οι αναλυτές της Acronis παρατηρούν επιθέσεις ransomware που φυτεύουν επίσης οικονομικούς Trojans στον υπολογιστή του θύματος. Επιπλέον, στις σύγχρονες συνθήκες, μια επίθεση ransomware μπορεί γενικά να χρησιμεύσει ως δολιοφθορά προκειμένου να αποσπάσει την προσοχή από τον κύριο στόχο των εισβολέων - τη διαρροή δεδομένων.
Με τον ένα ή τον άλλο τρόπο, η προστασία από τέτοιες απειλές μπορεί να επιτευχθεί μόνο με τη χρήση μιας ολοκληρωμένης προσέγγισης για την άμυνα στον κυβερνοχώρο. Και τα σύγχρονα συστήματα ασφαλείας μπλοκάρουν εύκολα τέτοιες απειλές (και τα δύο συστατικά τους) ακόμη και πριν αρχίσουν να χρησιμοποιούν ευρετικούς αλγόριθμους χρησιμοποιώντας τεχνολογίες μηχανικής μάθησης. Εάν ενσωματωθεί σε ένα σύστημα αντιγράφων ασφαλείας/ανάκτησης από καταστροφή, τα πρώτα κατεστραμμένα αρχεία θα αποκατασταθούν αμέσως.
Για όσους ενδιαφέρονται, κατακερματίστε τα αθροίσματα των αρχείων IoC:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Μόνο εγγεγραμμένοι χρήστες μπορούν να συμμετάσχουν στην έρευνα. , Σας παρακαλούμε.
Έχετε βιώσει ποτέ ταυτόχρονη κρυπτογράφηση και κλοπή δεδομένων;
-
19,0%Ναι 4
-
42,9%Νο9
-
28,6%Θα πρέπει να είμαστε πιο προσεκτικοί6
-
9,5%Ούτε που το σκέφτηκα 2
Ψήφισαν 21 χρήστες. 5 χρήστες απείχαν.
Πηγή: www.habr.com