Компанията за компютърна защита Lastline съобщи за използването на нов метод за доставянето на рансъмуер от страна на вече известна престъпна група.

Става дума за Paradise, рансъмуер заплаха, известна на специалистите от 2017, която досега се е разпространявала главно чрез фишинг имейли. В регистрираните нови атаки обаче, биват използвани Internet Query (IQY) файлове, текстови файлове, които служат за свалянето на данни от Интернет и зареждането им в Microsoft Excel таблици. И тъй като подобни атаки с този тип файлове не са често срещани, те не биват блокирани по подразбиране.

Все пак, Lastline успяват да разкрият активна кампания с целенасочени атаки към избрани организации. „Виждаме атаки, които използват IQY файлове, защото много от стандартните продукти за защита и автоматизираните системи не могат или просто не са настроени да обработват този тип файлове. Хакерите осъзнават, че има голям шанс да компрометират стандартните защити“, споделя Ричард Хендерсън, шеф на изследователския екип в Lastline.

Писмата, с които биват привличани жертвите изглеждат като стандартна бизнес кореспонденция и насърчават потребителя да отвори приложения в писмото IQY файл. Ако потребителят го изпълни, то той се свързва с команден сървър, контролиран от хакерите, който изпраща към системата PowerShell команда, който на свой ред изпълнява рансъмуер на машината.

От Lastline се опитват да се свържат с чат връзка, оставена от атакуващата страна за преговаряне на откупа, но така и не получават обратна връзка, което ги навежда на мисълта, че настоящата кампания представлява подготовка за разпространението на нов вариант на Paradise.

„Авторите на зловредни програми често пъти доставят зловреден код, който все още не е готов за същински атаки. Те просто искат да видят колко успешни ще са първоначалните версии в новата кампания и как се справят защитните продукти срещу програмите им“, допълва Хендерсън. Той напомня, че вече има декриптори за стари версии на Paradise. Самата атака не атакува системи, ако езиковата им локализация е настроена на руски, беларуски, украински или татарски.

0 0 глас
Оценете статията
Абонирай се
Извести ме за
guest
4 Коментара
стари
нови оценка
Отзиви
Всички коментари