Една от най-мрачните прогнози на специалистите по сигурност, които слушахме през миналата година е, че рансъмуер атаките ще еволюират, съчетавайки заключването с кражбата на информацията. По този начин престъпниците увеличават многократно печалбите си: искат откуп не само за връщане на достъп до информацията, но и пари да не бъде публикувана. По този начин, даже и атакуваната организация да има резервен план за атака с рансъмуер заплаха и да не трябва да плаща откуп за криптираните данни, то ще трябва да отдели сериозна сума, ако не иска чувствителни данни да не попаднат в нежелани ръце. И за съжаление, случаите с подобни атаки се увеличават.

След като разбрахме, че авторите на Maze сравнително популярно рансъмуер семейство, са избрали подобна смяна тактиките си, сега става ясно, че и друг известен криптовирус не само криптира данните, но и ги краде. Става дума за FTCODE, за което предават ZScaler.

FTCODE представлява PowerShell-базиран рансъмуер, който се разпространява в спам кампании, като документ със зловредни макроси, при чието изпълнение той се активира. Наскоро обаче е била регистрирана промяна в тактиката на авторите му. Скорошни атаки, насочени основно към италиански потребители са проведени чрез свалянето на VBScript скрипт, който го сваля на системата. В конкретните атаки, изпълнението на .vbs скрипт води до стартирането на PowerShell скрипт, който води и до въпросния рансъмуер. Той сваля изображение в папката на временните файлове и отваря. Жертвата си мисли, че това е обикновено изображение, но на заден фон всъщност се сваля и инсталира рансъмуера. Веднъж установила се на системата зловредната програма, тя си осигурява устойчивост с разполагането си в стартовата папка, а заедно с това бива създадена и планирана задача за изпълнение. Програмата генерира произволни символи, криптира ги посредством RSA и ги използва за генерирането на парола, след което се свързва с команден сървър и започва същинското криптиране на данните, използвайки определен за това списък с файлови разширения. Освен това обаче, тя има способността за кражбата на данни – от основните браузъри и имейл клиенти – Internet Explorer, Mozilla Firefox, Mozilla Thunderbird, Google Chrome и Microsoft Outlook.

ДОБАВИ КОМЕНТАР

avatar
  Абонирай се  
Извести ме за