“En enkelt spyd-phishing-e-post med noe endret skadelig programvare kan omgå bedriftssikkerhetsløsninger på flere millioner dollar hvis en motstander lurer en cyberhygienisk apatisk ansatt til å åpne vedlegget eller klikke på en ondsinnet lenke og dermed kompromittere hele nettverket .”
James Scott, Senior Fellow, Institute for Critical Infrastructure Technology
Siste uke ble en Ransomware kalt Defray rettet mot en utvalgt gruppe eliteorganisasjoner som krever $5000 ved infeksjon. Det er en filkoder-trojaner skrevet i C++ som bruker avansert kryptografisk algoritme.
Må lese: Various Ways To Protect Your PC Against Ransomware
Navnet Defray er basert på kommando-og-kontroll-serververten i det første sporede angrepet: 'defrayable-listings'.
Den er også kjent under et annet navn Glushkov Ransomware. Navnet kan brukes som en referanse til «[email protected],» «glushkov®tutanota.de» og «[email protected]» e-postkontoer som brukes til å spre trusselen og brukes til å kontakte hackeren.
Den distribuerte to små og selektive angrep og er anerkjent som en stor kryptotrussel. trusselen blir sammenlignet med Petya- og WannaCry-stammene.
I følge rapporter er trusselen hovedsakelig rettet mot sykehus og utdanningsinstitusjoners nettverk og kryptering av data.
De første angrepene var rettet mot helse- og utdanningsorganisasjon, mens de andre målrettet produksjons- og teknologiinstitusjoner.
Hvordan sprer det seg?
Img src: gbhackers
Installasjonsprogrammet som brukes til å spre skadelig programvare, bruker et Word-dokument som inneholder et innebygd kjørbart videoklipp (O LE packager shell-objekt).
Når mottakeren prøver å spille av det innebygde video, som er et bilde, Defray Ransomware blir installert og aktivert. Etter installasjonen begynner den å kryptere data og viser deretter en løsepengenotat som erklærer at for å få tilgang igjen må du betale løsepenger.
Phishing-e-post og målrettede phishing-e-poster brukes for å tiltrekke kontoransatte, og de blir deretter tvunget til å les det infiserte dokumentet. E-poster er adressert til enkeltpersoner eller grupper, og den består av meldinger spesialdesignet for å lokke målene.
Første gang kampanjen fant sted 15. august rettet mot profesjonelle innen produksjon og teknologi. I forlengelsen av 22. august ble det satt en ny kampanje s lanserte og falske e-poster ble sendt til helse- og utdanningsorganisasjoner. Denne e-posten inneholdt pasientrapport fra en antatt direktør for informasjonsadministrasjon og teknologi ved et sykehus.
Img src: Proofpoint
Disse falske e-postene gir åpen invitasjon til skadelig programvare, og den blir installert på maskiner. Det er som å ønske en vampyr velkommen inn i huset ditt og deretter la ham få blodet ditt.
Må lese: Gjør og ikke må når du håndterer løsepengeprogramvare
Etter alt dette dukker det opp en løsepengenota på skrivebordet ditt, offeret blir bedt om å betale $5000 i form av Bitcoins.
Løsepengeseddelen finner du under to filer kalt 'Files.TXT' og 'HELP. TXXR' og den konkluderer:
“Dette er spesialutviklet løsepengevare, dekryptering vil ikke bli laget av et antivirusselskap. Denne har ikke engang et navn. Den bruker AES-256 for kryptering av filer, RSA-2048 for lagring av kryptert AES-256-passord og SHA-2 for å beholde den krypterte filens integritet. Den er skrevet i C++ og har bestått mange kvalitetssikringstester. For å forhindre dette neste gang, bruk offline sikkerhetskopier."
Kilde: tripwire
Defray Ransomware krypter filer med følgende utvidelser:
.001, .3ds, .7zip, .MDF, .NRG, .PBF, .SQLITE, .SQLITE2, .SQLITE3, .SQLITEDB, .SVG, .UIF, .WMF, .abr, .accdb, .afi, . , .asm, .bkf, .c4d, .cab, .cbm, .cbu, .class, .cls, .cpp, .cr2, .crw, .csh, .csv, .dat, .dbx, .dcr, . dgn, .djvu, .dng, .doc, .docm, .docx, .dwfx, .dwg, .dxf, .exe, .fla, .fpx, .gdb, .gho, .ghs, .hdd, .html, .iso, .iv2i, .java, .key, .lcf, .lnk, .matlab, .max, .mdb, .mdi, .mrbak, .mrimg, .mrw, .nef, .odg, .ofx, .orf , .ova, .ovf, .pbd, .pcd, .pdf, .php, .pps, .ppsx, .ppt, .pptx, .pqi, .prn, .psb, .psd, .pst, .ptx, . pvm, .pzl, .qfx, .qif, .r00, .raf, .rar, .raw, .reg, .rw2, .s3db, .skp, .spf, .spi, .sql, .sqlite-journal, . stl, .sup, .swift, .tib, .txf, .u3d, .v2i, .vcd, .vcf, .vdi, .vhd, .vmdk, .vmem, .vmwarevm, .vmx, .vsdx, .wallet .win, .xls, .xlsm, .xlsx, .zip.
Kilde: enigmasoftware
Neste lesing: Locky Ransomware 'Tilbake fra de døde'
Alle disse løsepenge-angrepene er en alarm for å holde deg beskyttet og oppmerksom. Vi bør unngå å åpne e-poster mottatt fra anonyme kilder og de som vi ikke er sikre på. Vi bør ikke åpne alle vedlegg som vi mottar på e-post. Også fra sikkerhetssynspunkt bør et oppdatert antivirus installeres på din m maskin.
Les: 0
