จากรัสเซียพร้อมหมายเรียก: ตัวแปรใหม่ของ Sigma Ransomware สู่ Scare Users

เวลาอ่านหนังสือ: 5 นาที

คุณจะกลัวหรืออย่างน้อยก็วิตกกังวลหากคุณพบหมายเรียกศาลแขวงสหรัฐในกล่องอีเมลของคุณ คนส่วนใหญ่คงจะ นั่นคือสิ่งที่ผู้โจมตีคิดร้ายนับเมื่อทำการโจมตีครั้งใหญ่จาก IP ที่อยู่ในรัสเซียด้วยเพย์โหลดแรนซัมแวร์ที่ซับซ้อนและชาญฉลาด

วิศวกรรมสังคม: อำนาจปลอมทำให้เกิดความกลัวอย่างแท้จริง

ผู้ใช้ 3582 รายกลายเป็นเป้าหมายของอีเมลที่เป็นอันตรายนี้ ซึ่งปลอมแปลงเป็นหมายศาลของ "ศาลแขวงสหรัฐ"

อย่างที่คุณเห็น อีเมลประกอบด้วยกลอุบายด้านวิศวกรรมสังคมทั้งหมดเพื่อโน้มน้าวให้ผู้ใช้เปิดไฟล์แนบที่เป็นอันตราย โดยหลักแล้ว ผู้กระทำผิดพยายามที่จะเล่นกับความกลัว อำนาจ และความอยากรู้อยากเห็นเพื่อจัดการกับเหยื่อ การติดตั้งสภาวะที่กระตุ้นทางอารมณ์นี้ไว้ในจิตใจของผู้รับมีจุดมุ่งหมายเพื่อระงับความสามารถในการคิดเชิงวิพากษ์และทำให้พวกเขาแสดงท่าทางที่หุนหันพลันแล่น

นอกจากนี้ ที่อยู่อีเมลของผู้ส่งคือ “uscortgove.com”ซึ่งแน่นอนว่าเป็นของปลอม แต่เพิ่มความน่าเชื่อถือให้กับอีเมลมากขึ้น การมีรหัสผ่านสำหรับไฟล์แนบช่วยเสริมความแข็งแกร่งของเมล หัวเรื่องของอีเมลคือ "megaloman" และเอกสารที่แนบมามีชื่อว่า "scan.megaloman.doc" และการจับคู่นี้ยังเพิ่มความน่าเชื่อถือเล็กน้อย และการข่มขู่ผู้เสียหายด้วยความรับผิดชอบหากเธอ "ล้มเหลวในการทำเช่นนั้น" (และวิธีเดียวที่จะพบว่าเปิดไฟล์ในไฟล์แนบ) คือไอซิ่งบนเค้ก

ค็อกเทลบงการที่ระเบิดขึ้นนี้เป็นเครื่องมือที่มีศักยภาพที่จะช่วยให้ผู้กระทำผิดได้รับสิ่งที่พวกเขาต้องการ ดังนั้นความเสี่ยงที่หลายคนจะตกเป็นเหยื่อกลโกงนี้จึงมีสูงมาก

ตอนนี้เรามาดูกันว่าจะเกิดอะไรขึ้นหากผู้ใช้เปิดไฟล์ในไฟล์แนบ

มัลแวร์: ซ่อนก่อนแล้วจึงโจมตี

แน่นอน หมายเรียกไม่มีอะไรเหมือนกัน ในความเป็นจริง as ห้องปฏิบัติการวิจัยภัยคุกคามโคโมโด นักวิเคราะห์ค้นพบว่าเป็นแรนซัมแวร์ Sigma รุ่นใหม่ที่ฉลาดแกมโกงและซับซ้อน ซึ่งจะเข้ารหัสไฟล์ในเครื่องที่ติดไวรัสและรีดไถค่าไถ่เพื่อถอดรหัสไฟล์เหล่านั้น

Sigma ransomware ทำงานอย่างไร:

สิ่งพิเศษใน Sigma รุ่นใหม่นี้คือขอให้ผู้ใช้ป้อนรหัสผ่าน อืม… รหัสผ่านสำหรับมัลแวร์? โดยรวมแล้วอาจฟังดูแปลก ๆ ในความเป็นจริงมันมีจุดประสงค์ที่ชัดเจน: ทำให้มัลแวร์สับสนจากการตรวจจับมากขึ้น

แม้ว่าผู้ใช้จะป้อนรหัสผ่าน ไฟล์ก็จะไม่ทำงานทันที หากแมโครถูกปิดในเครื่องของเหยื่อ มันจะขอให้ปิดอย่างน่าเชื่อถือ สังเกตว่าสิ่งนี้จำเป็นต้องใช้กับกลยุทธ์ของผู้โจมตีทั้งหมดอย่างไร: หากเป็นข้อความจากศาล มันสามารถเป็นเอกสารที่ได้รับการคุ้มครองอย่างแน่นอนใช่ไหม

แต่ในความเป็นจริง ไฟล์ดังกล่าวมี VBScript ที่เป็นอันตรายซึ่งต้องเรียกใช้เพื่อเริ่มการติดตั้งมัลแวร์ในคอมพิวเตอร์ของเหยื่อ มันดาวน์โหลดมัลแวร์ส่วนถัดไปจากเซิร์ฟเวอร์ของผู้โจมตี บันทึกลงในโฟลเดอร์ %TEMP% ปลอมแปลงเป็น svchost.exe ประมวลผลและดำเนินการ นี้ svchost.exe ทำหน้าที่เป็นหยดเพื่อดาวน์โหลดมัลแวร์อีกส่วนหนึ่ง จากนั้นด้วยการดำเนินการที่ค่อนข้างยาว - อีกครั้ง สำหรับการทำให้เกิดความสับสนมากขึ้น - มันทำให้เพย์โหลดที่เป็นอันตรายเสร็จสมบูรณ์และรันมัน

มัลแวร์ดูน่าประทับใจจริงๆ ด้วยลูกเล่นที่หลากหลายในการซ่อนและหลีกเลี่ยงการตรวจจับ ก่อนเรียกใช้ ระบบจะตรวจสอบสภาพแวดล้อมสำหรับเครื่องเสมือนหรือแซนด์บ็อกซ์ หากพบมัลแวร์หนึ่งตัว มัลแวร์จะฆ่าตัวเอง มันปลอมแปลงกระบวนการที่เป็นอันตรายและรายการรีจิสตรีเป็นรายการที่ถูกต้องเช่น “svchost.exe” และ “chrome” และนั่นไม่ใช่ทั้งหมด

ไม่เหมือนของใกล้ตัว ransomware ญาติพี่น้อง ซิกม่าไม่ได้กระทำการทันทีแต่แฝงตัวและทำการสอดแนมอย่างลับๆ ก่อน มันสร้างรายการไฟล์ที่มีค่า นับไฟล์ และส่งค่านี้ไปยังเซิร์ฟเวอร์ C&C พร้อมกับข้อมูลอื่น ๆ เกี่ยวกับเครื่องของเหยื่อ หากไม่พบไฟล์ Sigma ก็แค่ลบตัวเอง นอกจากนี้ยังไม่แพร่ระบาดในคอมพิวเตอร์ หากพบว่าที่ตั้งของประเทศคือสหพันธรัฐรัสเซียหรือยูเครน

การเชื่อมต่อมัลแวร์กับเซิร์ฟเวอร์ Command-and-Control ก็ซับซ้อนเช่นกัน เนื่องจากเซิร์ฟเวอร์เป็นแบบ TOR ซิกมาจึงดำเนินการตามลำดับขั้นตอน:

1. ดาวน์โหลดซอฟต์แวร์ TOR โดยใช้ลิงก์นี้: https://archive.torproject.org/tor-package-archive/torbrowser/7.0/tor-win32-0.3.0.7.zip
2. บันทึกไปที่ %APPDATA% เป็น System.zip
3. แตกไฟล์ไปที่ %APPDATA%MicrosoftYOUR_SYSTEM_ID
4. ลบ System.zip
5. เปลี่ยนชื่อ Tortor.exe เป็น svchost.exe
6. ดำเนินการมัน
7. รอสักครู่แล้วส่งคำขอ

และหลังจากนั้น Sigma ก็เริ่มเข้ารหัสไฟล์ในเครื่องของเหยื่อ จากนั้นค่าไถ่จะจับภาพหน้าจอของเครื่องที่เป็นพิษ

และ … ฟินิต้า ลา คอมมีเดีย หากเหยื่อไม่ได้เตรียมการสำรองข้อมูลไว้ก่อนหน้านี้ ข้อมูลของเธอจะสูญหาย ไม่มีทางที่จะกู้คืนได้

การป้องกัน: วิธีต่อสู้กลับ

Fatih Orhan หัวหน้า Comodo กล่าวว่า "การเผชิญกับมัลแวร์ที่ซับซ้อนทั้งสองด้าน เทคนิคด้านวิศวกรรมสังคมและการออกแบบทางเทคนิค ถือเป็นความท้าทายที่ยากสำหรับผู้ใช้ที่คำนึงถึงความปลอดภัย" ห้องปฏิบัติการวิจัยภัยคุกคาม. “เพื่อป้องกันการโจมตีที่ฉลาดแกมโกง คุณต้องมีบางสิ่งที่น่าเชื่อถือมากกว่าแค่การรับรู้ของผู้คน ในกรณีนี้ โซลูชันที่แท้จริงต้องให้การรับประกัน 100% ว่าทรัพย์สินของคุณจะไม่ถูกทำร้ายแม้ว่าจะมีคนใช้เหยื่อล่อของโจรและเรียกใช้มัลแวร์ก็ตาม

นั่นคือสิ่งที่พิเศษ เทคโนโลยีการบรรจุอัตโนมัติ Comodo ให้ลูกค้าของเรา: ไฟล์ที่ไม่รู้จักที่มาถึงจะถูกใส่ลงในสภาพแวดล้อมที่ปลอดภัยโดยอัตโนมัติ ที่ซึ่งมันสามารถทำงานได้โดยไม่มีความเป็นไปได้แม้แต่ครั้งเดียวที่จะทำอันตรายต่อโฮสต์ ระบบ หรือเครือข่าย และจะอยู่ในสภาพแวดล้อมนี้จนกว่านักวิเคราะห์ของ Comodo จะทำการตรวจสอบ นั่นเป็นสาเหตุที่ลูกค้า Comodo ไม่มีใครได้รับความเดือดร้อนจากการโจมตีแบบลับๆ ล่อๆ นี้”

อยู่อย่างปลอดภัยกับ ประชา!

ด้านล่างนี้คือแผนที่ความหนาแน่นและ IP ที่ใช้ในการโจมตี

การโจมตีดำเนินการจาก IP ของรัสเซีย (เซนต์ปีเตอร์สเบิร์ก) จำนวน 32 แห่งจากอีเมล Kristopher.Franko@uscourtgov.com โดเมนใดที่น่าจะถูกสร้างขึ้นเป็นพิเศษสำหรับการโจมตี เริ่มเมื่อวันที่ 10 พฤษภาคม 2018 เวลา 02:20 UTC และสิ้นสุดเมื่อ 14:35 UTC

การโจมตีของแรนซัมแวร์

ซอฟต์แวร์ป้องกันแรนซัมแวร์

เริ่มทดลองใช้ฟรี รับคะแนนความปลอดภัยทันทีของคุณฟรี

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
• ที่มา: https://blog.comodo.com/pc-security/subpoena-new-variant-of-sigma-ransomware/