W Internecie nadal pojawiają się różne zagrożenia wykorzystujące tematykę związaną z koronawirusem. A dzisiaj chcemy podzielić się informacją o jednym ciekawym przypadku, który wyraźnie pokazuje chęć atakujących, aby zmaksymalizować swoje zyski. Zagrożenie z kategorii „2 w 1” nazywa się CoronaVirus. Szczegółowe informacje na temat złośliwego oprogramowania nie są dostępne.
Eksploatacja motywu koronaawirusa rozpoczęła się ponad miesiąc temu. Napastnicy wykorzystali zainteresowanie opinii publicznej informacjami o rozprzestrzenianiu się pandemii i podjętych środkach. W Internecie pojawiła się ogromna liczba różnych informatorów, specjalnych aplikacji i fałszywych witryn, które narażają użytkowników, kradną dane, a czasami szyfrują zawartość urządzenia i żądają okupu. Dokładnie to robi aplikacja mobilna Crown Tracker, blokując dostęp do urządzenia i żądając okupu.
Oddzielnym problemem rozprzestrzeniania się szkodliwego oprogramowania było pomyłka ze środkami wsparcia finansowego. W wielu krajach rząd obiecał pomoc i wsparcie zwykłym obywatelom i przedstawicielom biznesu w czasie pandemii. I prawie nigdzie otrzymanie tej pomocy nie jest proste i przejrzyste. Co więcej, wielu liczy na pomoc finansową, ale nie wie, czy znajdą się na liście osób, które otrzymają rządowe dotacje, czy też nie. A ci, którzy już otrzymali coś od państwa, raczej nie odmówią dodatkowej pomocy.
Właśnie to wykorzystują napastnicy. Wysyłają pisma w imieniu banków, organów nadzoru finansowego i organów zabezpieczenia społecznego, oferując pomoc. Wystarczy wejść w link...
Nietrudno zgadnąć, że po kliknięciu w podejrzany adres osoba trafia na stronę phishingową, gdzie jest proszona o podanie swoich danych finansowych. Najczęściej jednocześnie z otwarciem strony internetowej napastnicy próbują zainfekować komputer trojanem, którego celem jest kradzież danych osobowych, a w szczególności informacji finansowych. Czasami załącznik do wiadomości e-mail zawiera plik chroniony hasłem, który zawiera „ważne informacje o tym, jak można uzyskać pomoc rządową” w postaci oprogramowania szpiegującego lub oprogramowania ransomware.
Ponadto w sieciach społecznościowych zaczęły ostatnio rozprzestrzeniać się programy z kategorii Infostealer. Na przykład, jeśli chcesz pobrać legalne narzędzie Windows, powiedzmy mądrycleaner[.]best, w pakiecie z nim może znajdować się Infostealer. Klikając łącze, użytkownik otrzymuje downloader, który pobiera złośliwe oprogramowanie wraz z narzędziem, a źródło pobierania jest wybierane w zależności od konfiguracji komputera ofiary.
Koronawirus 2022
Dlaczego odbyliśmy całą tę wycieczkę? Faktem jest, że nowe szkodliwe oprogramowanie, którego twórcy nie zastanawiali się zbyt długo nad nazwą, właśnie wchłonęło wszystko, co najlepsze i zachwyca ofiarę dwoma rodzajami ataków jednocześnie. Z jednej strony ładowany jest program szyfrujący (CoronaVirus), a z drugiej kradnący informacje KPOT.
Oprogramowanie ransomware CoronaVirus
Samo oprogramowanie ransomware to mały plik o rozmiarze 44 KB. Groźba jest prosta, ale skuteczna. Plik wykonywalny kopiuje się pod losową nazwą do %AppData%LocalTempvprdh.exe, a także ustawia klucz w rejestrze WindowsCurrentVersionRun. Po umieszczeniu kopii oryginał zostaje usunięty.
Podobnie jak większość oprogramowania ransomware, CoronaVirus próbuje usunąć lokalne kopie zapasowe i wyłączyć cieniowanie plików, uruchamiając następujące polecenia systemowe:
C:Windowssystem32VSSADMIN.EXE Delete Shadows /All /Quiet
C:Windowssystem32wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet
C:Windowssystem32wbadmin.exe delete backup -keepVersions:0 -quiet
Następnie oprogramowanie rozpoczyna szyfrowanie plików. Nazwa każdego zaszyfrowanego pliku będzie zawierać [email protected]__ na początku, a wszystko inne pozostaje takie samo.
Ponadto ransomware zmienia nazwę dysku C na CoronaVirus.
W każdym katalogu, który ten wirus zdołał zainfekować, pojawia się plik CoronaVirus.txt, który zawiera instrukcje dotyczące płatności. Okup wynosi tylko 0,008 bitcoina, czyli około 60 dolarów. Muszę przyznać, że to bardzo skromna liczba. I tu chodzi o to, że albo autor nie postawił sobie za cel bardzo bogatego wzbogacenia się... albo wręcz przeciwnie, uznał, że jest to znakomita kwota, którą może zapłacić każdy użytkownik siedzący w domu w izolacji. Zgadzam się, jeśli nie możesz wyjść na zewnątrz, to 60 dolarów na przywrócenie komputera do pracy to niezbyt dużo.
Ponadto nowe oprogramowanie Ransomware zapisuje mały plik wykonywalny DOS w folderze plików tymczasowych i rejestruje go w rejestrze pod kluczem BootExecute, dzięki czemu instrukcje dotyczące płatności zostaną wyświetlone przy następnym uruchomieniu komputera. W zależności od ustawień systemu ten komunikat może się nie pojawić. Jednak po zakończeniu szyfrowania wszystkich plików komputer automatycznie uruchomi się ponownie.
Złodziej informacji KPOT
To oprogramowanie ransomware jest również dostarczane z oprogramowaniem szpiegującym KPOT. Ten złodziej informacji może kraść pliki cookie i zapisane hasła z różnych przeglądarek, a także z gier zainstalowanych na komputerze PC (w tym Steam), komunikatorów Jabber i Skype. W obszarze jego zainteresowań znajdują się także dane dostępowe do FTP i VPN. Po wykonaniu swojej pracy i kradzieży wszystkiego, co się da, szpieg usuwa się za pomocą następującego polecenia:
cmd.exe /c ping 127.0.0.1 && del C:tempkpot.exe
To już nie tylko ransomware
Atak ten, po raz kolejny powiązany z tematem pandemii koronaawirusa, po raz kolejny udowadnia, że współczesne oprogramowanie ransomware chce czegoś więcej niż tylko szyfrowania plików. W takim przypadku ofiara naraża się na ryzyko kradzieży haseł do różnych witryn i portali. Wysoce zorganizowane grupy cyberprzestępcze, takie jak Maze i DoppelPaymer, nabrały wprawy w wykorzystywaniu skradzionych danych osobowych do szantażowania użytkowników, jeśli nie chcą płacić za odzyskanie plików. Rzeczywiście, nagle nie są one tak ważne, albo użytkownik ma system zapasowy, który nie jest podatny na ataki Ransomware.
Pomimo swojej prostoty, nowy CoronaVirus wyraźnie pokazuje, że cyberprzestępcy również dążą do zwiększenia swoich dochodów i szukają dodatkowych sposobów monetyzacji. Sama strategia nie jest nowa – od kilku lat analitycy Acronis obserwują ataki ransomware, które instalują także trojany finansowe na komputerze ofiary. Co więcej, we współczesnych warunkach atak ransomware może generalnie służyć jako sabotaż mający na celu odwrócenie uwagi od głównego celu atakujących – wycieku danych.
Tak czy inaczej ochronę przed takimi zagrożeniami można osiągnąć jedynie poprzez zintegrowane podejście do cyberobrony. Nowoczesne systemy bezpieczeństwa z łatwością blokują takie zagrożenia (i oba ich komponenty) jeszcze zanim zaczną wykorzystywać algorytmy heurystyczne wykorzystujące technologie uczenia maszynowego. W przypadku integracji z systemem tworzenia kopii zapasowych/odzyskiwania po awarii pierwsze uszkodzone pliki zostaną natychmiast przywrócone.
Dla zainteresowanych sumy skrótów plików IoC:
CoronaVirus Ransomware: 3299f07bc0711b3587fe8a1c6bf3ee6bcbc14cb775f64b28a61d72ebcb8968d3
Kpot infostealer: a08db3b44c713a96fe07e0bfc440ca9cf2e3d152a5d13a70d6102c15004c4240
W ankiecie mogą brać udział tylko zarejestrowani użytkownicy. , Proszę.
Czy kiedykolwiek doświadczyłeś jednoczesnego szyfrowania i kradzieży danych?
-
19,0%Tak4
-
42,9%Nie9
-
28,6%Będziemy musieli zachować większą czujność6
-
9,5%Nawet o tym nie pomyślałem2
Głosowało 21 użytkowników. 5 użytkowników wstrzymało się od głosu.
Źródło: www.habr.com