Pojawił się agresywny ransomware, który przeprowadził ponad 27 milionów ataków w ciągu pierwszych 24 godzin

Detekcja zagrożenia – autorem jest Wieland Alge, wiceprezes i dyrektor generalny Barracuda Networks w regionie EMEA.

W drugiej połowie września 2017 r. pojawiło się nowe zagrożenie typu ransomware, którego źródło – na podstawie największej liczbie ataków – ustalono w Wietnamie. Pozostałe ogniska pochodziły z Indii, Kolumbii, Turcji oraz Grecji. Początkowo adresaci otrzymywali imitujące korespondencję firmową od ‘Herbalife’ lub ogólny e-mail (załącznik nr 1) sfałszowane wiadomości e-mail, które zawierały fikcyjne faktury lub potwierdzenia wykonania płatności.

Wyodrębniono różne wersje szablonów tego ransomware. Zagrożeniem był pusty e-mail z załącznikiem, a wiersze tematu maila różniły się w zależności od nazwy załączonego pliku. Pojawiły się trzy typy tytułów takiego maila, którymi były nazwy załączników (będących spakowanymi plikami) o nazwach: IMG, SCAN oraz JPEG z numerami.

Zaobserwowano również wersję imitującą wiadomość poczty głosowej, używającą tematu „Nowa wiadomość głosowa [numer telefonu] w skrzynce pocztowej [numer telefonu] z [” numer telefonu „] []. Większość tego typu ataków pochodziła z Serbii.

Metoda działania cyberzagrożenia

Analiza zagrożenia wykazała, że używało ono wariantu „Locky” z jednym identyfikatorem. Otwarcie załącznika z wiadomości email powodowało zainfekowanie komputera, a następnie jego zaszyfrowanie. Teoretycznie identyfikatory umożliwiają wymuszenie okupu przez stronę atakującą, która oferuje klucz deszyfrujący, wygenerowany dla konkretnej osoby. Jednak w tej wersji wszyscy poszkodowani posiadali ten sam identyfikator, co oznaczało, że nie było możliwości deszyfrowania, ponieważ przestępca nie był w stanie ich zidentyfikować. Ustalono również, że program sprawdzał także pliki językowe komputera podejrzanego – oznacza to, że w przyszłości może pojawić się globalna wersja tego ataku.

Ewolucja ataku
W pierwszej dobie od momentu zaobserwowania zagrożenia doszło do 27 milionów ataków. Ewoluowały one w ciągu kilku dni, jednak posiadały wspólne cechy, używanie we wszystkich fałszywych adresach e-mail. Najwcześniejsze wersje pochodziły głownie z Wietnamu i Grecji, a także z Indii, Turcji i Kolumbii. W pozostałych krajach odnotowano niską aktywność tego ransomware. Zaobserwowano również e-maile imitujące wiadomości pochodzące ze znanych domen np. brytyjskiego amazon.uk.com, jednak na chwilę obecną nie zauważono większego zagrożenia skierowanego na ten region.

  • Nie należy otwierać załączników z maili, nadesłanych od nieznanych lub podejrzanych nadawców
  • Jeśli pojawią się uzasadnione wątpliwości, czy wiadomość e-mail jest autentyczna, należy ją zweryfikować, kontaktując się z daną osobą lub firmą telefonicznie albo przez inne używane wcześniej kanały komunikacji.

Autor:

Wieland Alge, wiceprezes i dyrektor generalny na kraje EMEA w Barracuda Networks
Wieland Alge, wiceprezes i dyrektor generalny na kraje EMEA w Barracuda Networks