Iz Rusije s sodnim pozivom: nova različica izsiljevalske programske opreme Sigma, ki prestraši uporabnike

Čas branja: 5 min

Bi bili prestrašeni ali vsaj zaskrbljeni, če bi v svojem e-poštnem predalu našli sodni poziv okrožnemu sodišču ZDA? Večina ljudi bi zagotovo. Točno to je tisto, na kar so zlonamerni napadalci računali, ko so izvedli ta ogromen napad z IP-jev s sedežem v Rusiji s prefinjeno in zvito obremenitvijo izsiljevalske programske opreme.

Socialni inženiring: lažna avtoriteta povzroča pravi strah

3582 uporabnikov je postalo tarča tega zlonamernega e-poštnega sporočila, prikritega kot sodni poziv »okrožnega sodišča Združenih držav«.

Kot lahko vidite, je e-poštno sporočilo sestavljeno iz celega kupa trikov socialnega inženiringa, s katerimi uporabnike prepričate, da odprejo zlonamerno priponko. Predvsem poskušajo storilci igrati na čustvene strune strahu, avtoritete in radovednosti, da bi manipulirali z žrtvami. Nameščanje tega čustveno vzburjenega stanja v misli prejemnikov je namenjeno zatiranju njihove sposobnosti kritičnega razmišljanja in jih prisiliti v nepremišljeno ravnanje.

Prav tako je e-poštni naslov pošiljatelja “uscourtgove.com”, ki je seveda ponarejen, a e-poštnemu sporočilu doda več verodostojnosti. Če imate geslo za priponko, okrepite okus trdnosti pošte. Zadeva e-poštnega sporočila je »megaloman«, priloženi dokument pa se imenuje »scan.megaloman.doc« in to ujemanje doda tudi nekaj malenkosti verodostojnosti. Češnja na torti pa je grožnja žrtvi z odgovornostjo, če »ne stori, kar je za vas vezano« (in to lahko ugotovite le tako, da odprete datoteko v priponki).

Ta napihnjen manipulativni koktajl je močno orodje, ki pomaga storilcem, da dobijo, kar želijo. Tveganje, da bodo številni ljudje postali žrtev te prevare, je torej zelo veliko.

Zdaj pa poglejmo, kaj se zgodi, če uporabnik odpre datoteko v priponki.

Zlonamerna programska oprema: najprej se skrije, nato zadene

Seveda nima nič skupnega s sodnim pozivom. V resnici, kot Komodo za raziskave groženj Comodo Analitiki so odkrili, da gre za novo različico zvite in prefinjene izsiljevalske programske opreme Sigma, ki bo šifrirala datoteke na okuženem računalniku in izsiljevala odkupnino za njihovo dešifriranje.

Kako deluje izsiljevalska programska oprema Sigma:

Posebnost te nove različice Sigme je, da od uporabnika zahteva vnos gesla. Hm… geslo za zlonamerno programsko opremo? Vseskozi se lahko sliši čudno, v resnici pa ima jasen namen: več zameglitve zlonamerne programske opreme pred odkrivanjem.

Toda tudi če bo uporabnik vnesel geslo, se datoteka ne bo zagnala takoj. Če so makri na žrtvinem stroju izklopljeni, ta prepričljivo zahteva, da jih izklopi. Upoštevajte, kako se ta zahteva ujema s celotno strategijo napadalcev: če je sporočilo s sodišča, je zagotovo lahko zaščiten dokument, kajne?

Toda v resnici datoteka vključuje zlonamerni VBScript, ki ga je treba zagnati, da začnete nameščati zlonamerno programsko opremo v računalnik žrtve. Prenese naslednji del zlonamerne programske opreme s strežnika napadalcev, jo shrani v mapo %TEMP% in jo prikrije kot svchost.exe procesira in izvaja. to svchost.exe deluje kot kapalka za prenos še enega dela zlonamerne programske opreme. Nato prek precej dolge verige dejanj – znova, za močnejšo zamegljenost – dokonča zlonamerno obremenitev in jo zažene.

Zlonamerna programska oprema je videti res impresivno s svojimi različnimi triki za skrivanje in izogibanje odkrivanju. Pred zagonom preveri okolje za virtualni stroj ali peskovnike. Če ga odkrije, se zlonamerna programska oprema ubije. Svoje zlonamerne procese in vnose v registru prikrije kot zakonite, kot sta »svchost.exe« in »chrome«. In to še ni vse.

Za razliko od nekaterih bližnjih izsiljevalska sorodniki, Sigma ne ukrepa takoj, temveč preži in najprej izvede prikrito izvidovanje. Ustvari seznam dragocenih datotek, jih prešteje in to vrednost pošlje svojemu C&C strežniku skupaj z drugimi informacijami o žrtvinem računalniku. Če ni bila najdena nobena datoteka, se Sigma samo izbriše. Prav tako ne okuži računalnika, če ugotovi, da je njegova država Ruska federacija ali Ukrajina.

Zapletena je tudi povezava zlonamerne programske opreme s strežnikom Command-and-Control. Ker strežnik temelji na TOR, Sigma izvede zaporedje korakov:

1. Prenesite programsko opremo TOR s to povezavo: https://archive.torproject.org/tor-package-archive/torbrowser/7.0/tor-win32-0.3.0.7.zip
2. Shrani v %APPDATA% kot System.zip
3. Razpakirajte ga v %APPDATA%MicrosoftYOUR_SYSTEM_ID
4. Izbriše System.zip
5. Preimenuje Tortor.exe v svchost.exe
6. Izvrši
7. Počaka nekaj časa in pošlje svojo zahtevo

In šele po tem začne Sigma šifrirati datoteke na žrtvinem računalniku. Nato bo obvestilo o odkupnini zajelo zaslon zastrupljenega stroja.

In … končna komedija. Če žrtev predhodno ni poskrbela za izdelavo varnostnih kopij, so njeni podatki izgubljeni. Ni jih mogoče obnoviti.

Zaščita: kako se upreti

»Soočanje z zlonamerno programsko opremo, tako sofisticirano na obeh straneh, triki socialnega inženiringa in tehničnim dizajnom, je težak izziv celo za uporabnike, ki se zavedajo varnosti,« pravi Fatih Orhan, vodja Comoda. Laboratoriji za raziskave groženj. »Za zaščito pred takšnimi premetenimi napadi morate imeti nekaj bolj zanesljivega kot le zavedanje ljudi. V tem primeru mora resnična rešitev dati 100-odstotno jamstvo, da vaša sredstva ne bodo oškodovana, tudi če nekdo zagrabi vabo prevarantov in zažene zlonamerno programsko opremo.

Točno to je ekskluziva Tehnologija samodejnega zadrževanja Comodo daje našim strankam: vsaka prispela neznana datoteka se samodejno postavi v varno okolje, kjer jo je mogoče zagnati brez ene same možnosti, da bi poškodovala gostitelja, sistem ali omrežje. In ostal bo v tem okolju, dokler ga analitiki Comodo ne pregledajo. Zato nihče od strank Comodo ni bil deležen tega zahrbtnega napada.”

Živite varno z Comodo!

Spodaj so toplotni zemljevid in IP-ji, uporabljeni v napadu

Napad je bil izveden z 32 IP-jev s sedežem v Rusiji (Sankt Peterburg) iz elektronske pošte Kristopher.Franko@uscourtsgov.com katera domena je bila najverjetneje ustvarjena posebej za napad. Začelo se je 10. maja 2018 ob 02:20 UTC in končalo ob 14:35 UTC.

Ransomware napadi

Programska oprema za zaščito pred izsiljevalsko programsko opremo

ZAČNITE BREZPLAČEN PREIZKUS BREZPLAČNO SVOJO MESTO ZAGOTAVLJAJO

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
• vir: https://blog.comodo.com/pc-security/subpoena-new-variant-of-sigma-ransomware/