Cisco Romania Blog

Un nou model de atac informatic de tip ransomware își convinge  victimele să răscumpere date șterse în momentul infectării

2 min read



Atacurile informatice de tip ransomware prin care fișierele din calculatorul victimei sunt capturate și apoi eliberate în schimbul unei recompense nu mai reprezintă de mult o noutate, însă recent experții din cadrul Talos – centrul avansat de securitate informatică dezvoltat de Cisco – au descoperit o nouă amenințare de acest tip, numită Ranscam, care reușește să convingă victimele să plătească o recompensă pentru a recupera date care sunt de fapt șterse de la bun început.

http---prod.cdata.app.sprinklr.com-DAM-104-https___pbs.twimg.com_media_Cf-3a37abe2-89ac-46e4-bf66-5ab845397a86-339761842-2016-07-27 07-41-42

Să vă explic cum funcționează. La fel ca orice virus de tip ransomware, Ranscam afișează pe ecranul calculatorului infectat o imagine cu un mesaj, prin care informează victima că fișierele au fost capturate și vor fi eliberate abia după ce o anumită sumă, plătibilă sub formă de monede Bitcoin va fi virată într-un cont. Dacă victima nu deține Bitcoin, este instruită cum poate face rost de această valută digitală.

Imaginea mai include două câmpuri, unul pentru adresa de e-mail unde se presupune că vor fi returnate datele și un buton de confirmare a plății. Problema apare la apăsarea acestui buton, unde trebuie inclus codul de confirmare a plății. Orice confirmare are același rezultat: un mesaj de eroare care susține că plata nu a fost făcută iar unul dintre fișierele capturate va fi șters drept  pedeapsă.

RansomNote

Realitatea este însă alta. Mesajul care apare pe ecran este un simplu fișier JPEG, sau, mai simplu spus, o fotografie cu un chenar executabil care are o singură funcție: la apăsare, afișează mereu același mesaj, respectiv că plata nu a putut fi confirmată și un fișier capturat va fi șters. De la bun început, acest ransomware este un simplu executabil .NET, care descarcă la rândul său un executabil în folderul %TEMP%\. Acesta trece în mod repetat prin mai multe dosare din sistemul infectat și, în loc să le captureze, așa cum pretinde, le șterge pur și simplu. Mai multe detalii tehnice despre metoda în care funcționează atacul puteți găsi pe această pagină.

RansomNote-Threat

 

Experții din cadrul Talos au investigat atacul și au descoperit că, la adresa la care era găzuit contul  în care  victimele erau nevoite să vireze banii, în primele două săptămâni fuseseră făcute deja plăți în valoare de aproape 300 de dolari. Victimele au rămas și fără bani și fără date.

Concluzia e simplă.

Prevenţia este esenţiala si orice companie trebuie să implementeze o politică de securitate care să împiedice accesul utilizatorilor la siteuri cu potenţial de infectare. În plus, deşi acţiunile de prevenire sunt obligatorii, va exista întotdeauna riscul de pătrundere a unui malware de tip zero-day, care să scape tehnicilor tradiţionale. De aceea, securitatea retrospectivă este la fel de importantă. AMP pe endpoints sau pe NGFW asigură verificarea continuă a fişierelor care au străbătut reţeaua sau care au fost descarcate pe endpointuri, chiar dacă în momentul tranziţiei, malware-ul nu este cunoscut. Astfel, în cazul atacurilor noi, ele pot fi descoperite ulterior şi folosind traiectoria fişierului, administratorul IT poate  identifica staţiile infectate.

 

Authors

Ioana Manea

Systems Engineer

Lăsați un comentariu