Experti společnosti Kaspersky Lab objevili novou verzi ransomwaru RAA. Trojan je svým obětem doručován e-mailem, ke kterému je připojen nebezpečný soubor s příponou .js. Aktualizovaná verze je schopná zašifrovat data offline, aniž by potřebovala heslo příkazového serveru. Experti Kaspersky Lab se domnívají, že díky této verzi malwaru budou podvodníci častěji útočit na podniky. (TZ)
Ransomware RAA se objevil v červnu 2016 a je prvním ransomwarem, který je kompletně napsaný v JScriptu. V srpnu našli experti Kaspersky Lab novou verzi, která je stejně jako ta předchozí distribuována pomocí e-mailu. Tentokrát je ale škodlivý kód ukryt v heslem chráněné příloze, kterou je zazipovaný soubor. Kybernetičtí zločinci zavedli toto opatření především proto, aby oklamali AV řešení, pro které je těžší prozkoumat obsah zaheslovaného archivu.
Experti Kaspersky Lab analyzovali e-maily a došli k závěru, že podvodníci raději cílí na společnosti než na běžné uživatele, a to pomocí nebezpečných e-mailů, které informují o nezaplacených platbách dodavatelům. Podvodníci dodávají komunikaci důvěryhodnost zmínkou, že z bezpečnostních důvodů je přiložený soubor zaheslovaný (heslo je poskytnuto na konci e-mailu) a navíc je chráněný asymetrickým šifrováním. Toto prohlášení může znít uživatelům, kteří se zajímají o svoji bezpečnost, směšně, důvěřivé oběti se ale nechají přesvědčit.
Další postup útoku je podobný tomu u předchozí verze RAA ransomwaru. Oběť otevře soubor .js, který spustí celý škodlivý proces. Trojan ukazuje podvodný textový dokument, který obsahuje náhodnou kombinaci písmen. Tím se mu podaří zmást svou oběť. Zatímco se napadený uživatel snaží přijít na to, o co se jedná, RAA na pozadí kóduje soubory uložené v počítači. Nakonec ransomware na ploše vytvoří poznámku o výkupném a všem zašifrovaným souborům dá novou příponu .locked.
V případě šifrovaní dat v počítači oběti nyní RAA vůbec nepotřebuje komunikovat s C&C serverem. To je hlavní rozdíl od předchozí verze. Místo, aby trojan požadoval „master key“ od serveru, generuje, šifruje a ukládá jej přímo v napadeném počítači. Kybernetičtí zločinci mají k dispozici soukromý klíč, který dokáže rozšifrovat unikátní „master key“. Jakmile oběť zaplatí výkupné, podvodníci ji požádají o zaslání „master key“, který jí vrátí rozšifrovaný společně s částí dešifrovacího softwaru. Tento postup byl zaveden z důvodu, aby malware mohl počítač zašifrovat nehledě na to, zda je připojený k internetu.
Horší je, že oběti společně s ransomwarem RAA obdrží i trojan Pony. Ten je schopný ukrást hesla všech e-mailových klientů včetně těch korporátních a poslat je útočníkovi. Podvodníci pak mohou díky těmto heslům šířit malware jménem napadeného uživatele. Oběti je pak snadnější přesvědčit, že je e-mail legální. Z korporátního e-mailu oběti může být malware rozšířen celé řadě firemních kontaktů. Podvodníci z nich mohou vybrat určité kontakty, které je zajímají, a provést na ně cílený útok.
Podniky mohou snížit riziko napadení, pokud budou dodržovat následující doporučení:
- Používejte rozsáhlé zabezpečení koncových bodů a AV řešení. Ujistěte se, že všechny funkce jsou povolené.
- Vzdělávejte své zaměstnance v oblasti kybernetické bezpečnosti.
- Průběžně aktualizujte software na firemních počítačích.
- Pravidelně provádějte bezpečnostní audit.
- Věnujte pozornost příponám souborům před tím, než je otevřete, včetně těch potenciálně nebezpečných, jako například .exe, .hta, .wsf, .js.
- Buďte obezřetní u všech e-mailů od neznámých odesílatelů.
Z průzkumu „2016 Corporate IT security Risks Survey“ vyplývá, že 15,5 % českých podniků mělo v posledních dvanácti měsících zkušenost s útokem ransomwaru. Společnost Kaspersky Lab představila Anti-Ransomware Tool for Business, který je dostupný zdarma. Společnost tak pomáhá snížit riziko útoku ransomwaru.
V současné době se ransomware RAA šíří převážně mezi rusky mluvícími uživateli. Nemusí to ale dlouho trvat a jeho autoři se mohou rozhodnout rozšířit hrozbu globálně.
Produkty Kaspersky Lab detekují všechny známé modifikace ransomwaru RAA a zloděje hesel Pony pod názvy Trojan-Ransom.JS.RaaCrypt a Trojan-PSW.Win32.Tepfer.
O ransomwaru RAA se více dozvíte zde.
O společnosti Kaspersky Lab
Kaspersky Lab je mezinárodní společností, která se zabývá kybernetickou bezpečností a funguje již od roku 1997. Své rozsáhlé odborné znalosti kybernetických hrozeb využívá Kaspersky Lab při vytváření bezpečnostních řešení a služeb k ochraně podniků, kritické infrastruktury, vládních organizací a uživatelů po celém světě. Portfolio společnosti zahrnuje špičkové zabezpečení koncových bodů a specializovaná bezpečnostní řešení a služby sloužící k ochraně proti sofistikovaným a neustále se vyvíjejícím digitálním hrozbám. Technologie Kaspersky Lab chrání celosvětově více než 400 milionů uživatelů a 270 tisíc korporátních klientů. Více se dozvíte na www.kaspersky.cz.