Erilaisia koronavirusaiheisia uhkia esiintyy edelleen verkossa. Ja tänään haluamme jakaa tietoa yhdestä mielenkiintoisesta tapauksesta, joka osoittaa selvästi hyökkääjien halun maksimoida voittonsa. "2-in-1" -kategorian uhka kutsuu itseään CoronaVirus. Ja yksityiskohtaiset tiedot haittaohjelmista ovat alla.
Koronavirusteeman hyödyntäminen aloitettiin yli kuukausi sitten. Hyökkääjät käyttivät hyväkseen yleisön kiinnostusta saada tietoa pandemian leviämisestä ja toteutetuista toimenpiteistä. Internetiin on ilmestynyt valtava määrä erilaisia tiedottajia, erikoissovelluksia ja väärennettyjä sivustoja, jotka vaarantavat käyttäjiä, varastavat tietoja ja joskus salaavat laitteen sisällön ja vaativat lunnaita. Juuri näin tekee Coronavirus Tracker -mobiilisovellus, joka estää pääsyn laitteeseen ja vaatii lunnaita.
Erillinen ongelma haittaohjelmien leviämisessä oli sekaannus taloudellisiin tukitoimiin. Monissa maissa hallitus on luvannut apua ja tukea tavallisille kansalaisille ja yritysten edustajille pandemian aikana. Ja melkein missään tämän avun saaminen ei ole yksinkertaista ja läpinäkyvää. Lisäksi monet toivovat, että heitä autetaan taloudellisesti, mutta eivät tiedä, ovatko he valtiontukia saavien luettelossa vai eivät. Ja ne, jotka ovat jo saaneet jotain valtiolta, tuskin kieltäytyvät lisäavusta.
Juuri tätä hyökkääjät käyttävät hyväkseen. He lähettävät kirjeitä pankkien, rahoitusalan sääntelyviranomaisten ja sosiaaliturvaviranomaisten puolesta ja tarjoavat apua. Sinun tarvitsee vain seurata linkkiä...
Ei ole vaikea arvata, että kyseenalaista osoitetta napsautettuaan henkilö päätyy tietojenkalastelusivustolle, jonne häntä pyydetään syöttämään taloustietonsa. Useimmiten hyökkääjät yrittävät samanaikaisesti verkkosivuston avaamisen kanssa saastuttaa tietokoneen troijalaisella ohjelmalla, jonka tarkoituksena on varastaa henkilötietoja ja erityisesti taloudellisia tietoja. Joskus sähköpostin liite sisältää salasanalla suojatun tiedoston, joka sisältää "tärkeää tietoa siitä, kuinka voit saada valtion tukea" vakoilu- tai kiristysohjelmien muodossa.
Lisäksi viime aikoina Infostealer-kategorian ohjelmat ovat alkaneet levitä myös sosiaalisessa mediassa. Jos esimerkiksi haluat ladata jonkin laillisen Windows-apuohjelman, esimerkiksi wisecleaner[.]best, Infostealer saattaa hyvinkin tulla sen mukana. Klikkaamalla linkkiä käyttäjä saa latausohjelman, joka lataa haittaohjelmia apuohjelman mukana, ja latauslähde valitaan uhrin tietokoneen kokoonpanon mukaan.
Koronavirus 2022
Miksi kävimme läpi koko tämän retken? Tosiasia on, että uusi haittaohjelma, jonka luojat eivät miettineet nimeä liian kauan, on juuri imenyt kaiken parhaan ja ilahduttaa uhria kahden tyyppisillä hyökkäyksillä kerralla. Toisella puolella on salausohjelma (CoronaVirus) ja toisella KPOT infostealer.
CoronaVirus lunastusohjelma
Itse kiristysohjelma on pieni tiedosto, jonka koko on 44 kt. Uhka on yksinkertainen, mutta tehokas. Suoritettava tiedosto kopioi itsensä satunnaisella nimellä kohteeseen %AppData%LocalTempvprdh.exe, ja asettaa myös avaimen rekisteriin WindowsCurrentVersionRun. Kun kopio on asetettu, alkuperäinen poistetaan.
Kuten useimmat kiristysohjelmat, CoronaVirus yrittää poistaa paikalliset varmuuskopiot ja poistaa tiedostojen varjostuksen käytöstä suorittamalla seuraavat järjestelmäkomennot:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Seuraavaksi ohjelmisto alkaa salata tiedostoja. Jokaisen salatun tiedoston nimi sisältää [email protected]__ alussa, ja kaikki muu pysyy ennallaan.
Lisäksi kiristysohjelma muuttaa C-aseman nimen CoronaVirusiksi.
Jokaisessa hakemistossa, johon tämä virus onnistui saastuttamaan, näkyy CoronaVirus.txt-tiedosto, joka sisältää maksuohjeet. Lunnaat ovat vain 0,008 bitcoinia tai noin 60 dollaria. Minun on sanottava, että tämä on erittäin vaatimaton luku. Ja tässä on kysymys joko siitä, että kirjoittaja ei asettanut itselleen tavoitteeksi rikastua... tai päinvastoin, hän päätti, että tämä oli erinomainen summa, jonka jokainen kotona eristäytyvä käyttäjä voisi maksaa. Hyväksy, jos et voi mennä ulos, 60 dollaria tietokoneen saamisesta taas toimimaan ei ole niin paljon.
Lisäksi uusi Ransomware kirjoittaa pienen DOS-suoritettavan tiedoston väliaikaistiedostojen kansioon ja rekisteröi sen rekisteriin BootExecute-avaimella, jotta maksuohjeet tulevat näkyviin seuraavan kerran, kun tietokone käynnistetään uudelleen. Järjestelmäasetuksista riippuen tämä viesti ei ehkä tule näkyviin. Kuitenkin, kun kaikkien tiedostojen salaus on valmis, tietokone käynnistyy automaattisesti uudelleen.
KPOT infostealer
Tämän Ransomwaren mukana tulee myös KPOT-vakoiluohjelma. Tämä tietovarasto voi varastaa evästeitä ja tallennettuja salasanoja useista eri selaimista sekä PC:lle asennetuista peleistä (mukaan lukien Steam), Jabber- ja Skype-pikaviestinnästä. Hänen kiinnostuksen kohteensa sisältää myös FTP:n ja VPN:n pääsytiedot. Tehtyään työnsä ja varastanut kaiken voitavansa, vakooja poistaa itsensä seuraavalla komennolla:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
Se ei ole enää vain Ransomware
Tämä hyökkäys, joka on jälleen sidottu koronaviruspandemian teemaan, todistaa jälleen kerran, että nykyaikaiset kiristysohjelmat pyrkivät tekemään enemmän kuin vain salaamaan tiedostojasi. Tässä tapauksessa uhri on vaarassa, että eri sivustojen ja portaalien salasanat varastetaan. Hyvin järjestäytyneet kyberrikollisryhmät, kuten Maze ja DoppelPaymer, ovat taitavia käyttämään varastettuja henkilötietoja kiristääkseen käyttäjiä, jos he eivät halua maksaa tiedostojen palauttamisesta. Todellakin, yhtäkkiä ne eivät ole niin tärkeitä, tai käyttäjällä on varmuuskopiojärjestelmä, joka ei ole alttiina Ransomware-hyökkäyksille.
Yksinkertaisuudestaan huolimatta uusi CoronaVirus osoittaa selvästi, että myös kyberrikolliset pyrkivät kasvattamaan tulojaan ja etsivät lisäkeinoja kaupallistamiseen. Strategia itsessään ei ole uusi – Acroniksen analyytikot ovat jo useiden vuosien ajan havainneet kiristysohjelmahyökkäyksiä, jotka myös istuttavat taloudellisia troijalaisia uhrin tietokoneelle. Lisäksi nykyaikaisissa olosuhteissa ransomware-hyökkäys voi yleensä toimia sabotointina, jotta huomio voidaan kääntää pois hyökkääjien päätavoitteesta - tietovuodosta.
Tavalla tai toisella suojautuminen tällaisia uhkia vastaan voidaan saavuttaa vain käyttämällä integroitua lähestymistapaa kyberpuolustukseen. Ja nykyaikaiset turvajärjestelmät estävät helposti tällaiset uhat (ja molemmat niiden komponentit) jo ennen kuin ne alkavat käyttää koneoppimistekniikoita käyttäviä heuristisia algoritmeja. Jos se on integroitu varmuuskopiointi-/hätäpalautusjärjestelmään, ensimmäiset vahingoittuneet tiedostot palautetaan välittömästi.
Kiinnostuneille IoC-tiedostojen hash-summat:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
Vain rekisteröityneet käyttäjät voivat osallistua kyselyyn. , ole kiltti.
Oletko koskaan kokenut samanaikaista salausta ja tietovarkauksia?
-
19,0%Kyllä 4
-
42,9%Nro 9
-
28,6%Meidän on oltava valppaampia 6
-
9,5%En edes ajatellut sitä 2
21 käyttäjää äänesti. 5 käyttäjää pidättyi äänestämästä.
Lähde: will.com