Defray izpirkuma programmatūra no upuriem pieprasa 5000 USD, un tā ir vērsta uz slimnīcām, ražošanas uzņēmumiem un pat akvāriju ar maza mēroga, bet īpaši pielāgotām kampaņām.
Defray ransomware piezīme ar “padomiem” par to, kā nekļūt par upuri turpmākiem uzbrukumiem.
Drošība
- 8 ļoti drošu attālināto darbinieku ieradumi
- Kā atrast un noņemt spiegprogrammatūru no tālruņa
- Labākie VPN pakalpojumi: kā salīdzināt labākos 5?
- Kā uzzināt, vai esat iesaistīts datu pārkāpumā, un ko darīt tālāk
Jaunatklātā izpirkuma programmatūras forma ir vērsta uz organizācijām ar pielāgotiem pikšķerēšanas e-pastiem, pieprasot milzīgu izpirkuma maksu no nelaimīgajiem upuriem.
Izpirkuma programmu ir nodēvējusi par “Defray”. Proofpoint pētnieki, kuri to atklāja. Nosaukums ir balstīts uz komandu un vadības servera resursdatora nosaukumu pirmajā novērotajā uzbrukumā: “defrayable-listings”.
Tas ir piemērots nosaukums šim jaunajam izspiedējvīrusa celmam, jo “segt” nozīmē nodrošināt naudu, lai segtu izmaksas vai izdevumus, kā arī ļaunprātīgu programmatūru.
pieprasa 5000 USD samaksāt bitkoinā apmaiņā pret failu atšifrēšanu. Tā ir daudz augstāka maksa, nekā iekasē lielākā daļa izspiedējprogrammatūras veidu.Kampaņa galvenokārt ir vērsta uz veselības aprūpes un izglītības organizācijām ASV un Apvienotajā Karalistē. Tomēr uzbrukumi ir novēroti ražošanas un tehnoloģiju nozarēs; ir ietekmētas arī cita veida organizācijas, tostarp akvārijs.
Tāpat kā daudzi izspiedējvīrusu uzbrukumi, kampaņa izmanto pikšķerēšanas e-pastus ar Microsoft Word pielikumu, lai izplatītu ļaunprātīgo slodzi. Bet tā vietā, lai izmantotu masveida surogātpastu, tāpat kā citi izpirkuma programmatūras veidi, tie, kas ir aiz Defray, pielāgo ziņojumus konkrētiem mērķiem, un dažas kampaņas sastāv tikai no dažiem e-pasta ziņojumiem.
Viena konkrēta kampaņa, kuras mērķauditorija bija nenosaukta slimnīca, it kā bija no informācijas pārvaldības un tehnoloģiju direktora, un mēģināja izplatīt izspiedējvīrusu, izmantojot inficētu Word failu, kurā apgalvots, ka tajā ir pacientu ziņojumi — kopā ar slimnīcas logotipu dokumentu.
Lure dokuments, kas izmantots Defray uzbrukumā slimnīcai.
Uzbrucēji izmantoja līdzīgu taktiku, cenšoties inficēt mērķus ražošanas un tehnoloģiju nozarēs, e-pasta ziņojumu sūtīšana, kas it kā satur citātus saistībā ar darījumu, ar ļaunprātīgu izpildāmo failu vēlreiz programmā Word dokumentu.
Tie, kas ir aiz Defray, pat īpaši pielāgoja kampaņu, lai mērķētu uz Apvienotās Karalistes akvāriju, un māneklis bija no pārstāvja kādā no tā starptautiskajām vietām.
Lure dokuments, ko izmanto Defray uzbrukumā pret akvāriju.
Šie piemēri parāda, ka uzbrucēji velta laiku un pūles, lai sagatavotu savas negodīgās shēmas, norādot, ka Defray ir augsti organizēta kibernoziedznieku operācija.
Skatīt arī: Ransomware: vadošais ceļvedis par vienu no lielākajiem draudiem tīmeklī
Nav skaidrs, vai kāda no mērķa organizācijām patiešām ir inficējusies ar Defray, taču izspiedējprogrammatūra tiks izvietota un izpildīta, ja upuris Wordā veic dubultklikšķi uz izpildāmā faila dokumentu. Pēc tam upura faili tiek šifrēti un tiek uzrādīta izpirkuma piezīme.
Piezīmē upurim ir teikts "izlasīt šo un sazināties ar kādu no IT nodaļas", un tajā ir norādīts, kas ir izpirkuma programmatūra un kas ir noticis. Piezīmes sadaļā, kas paredzēta IT profesionāļu lasīšanai, arī apgalvots, ka izpirkuma programmatūra izmanto AES-256 kriptogrāfiju un ka nav iespējams atgūt failus, nemaksājot 5000 USD izpirkuma maksa.
Nekaunīgi piezīme arī iesaka upurim izmantot bezsaistes dublējumus, lai "nākamreiz to novērstu".
Lai samaksātu izpirkuma maksu, upuris tiek lūgts sazināties ar vienu no trim e-pasta adresēm – vienu Šveices, vienu Krievu valoda un viens vācietis vai sazināties ar uzbrucējiem, izmantojot BitMessage, ja mēs neatbildēsim laikā viena diena".
Papildus failu turēšanai ķīlniekos pētnieki brīdina, ka Defray var arī atspējot startēšanas atkopšanu un izdzēst failu ēnu kopijas. Operētājsistēmā Windows 7 izpirkuma programmatūra arī uzrauga un iznīcina darbojošās programmas ar GUI, piemēram, uzdevumu pārvaldnieku un pārlūkprogrammas, lai gan šī darbība netiek atkārtota operētājsistēmā Windows XP.
Nav zināms, kas stāv aiz Defraja, taču pētnieki atzīmē, ka grupa, visticamāk, pielāgos mānekļus un iekasēt tik lielu izpirkuma maksu, jo viņi to uzskata par vienkāršāko veidu, kā nopelnīt naudu tik ātri, iespējams.
"Ransomware ir saistīta ar ieguldījumu atdevi: naudas pelnīšanu ar minimālām izmaksām. Uzbrucēji ir atklājuši, ka ļoti pielāgoti ziņojumi piedāvā labāku finansiālo atdevi viņu kampaņām — tas ir mārketinga speciālistiem ir izmantoti gadu desmitiem, lai uzlabotu atbildes reakciju," sacīja Kevins Epšteins, Proofpoint draudu operāciju centra viceprezidents. ZDNet.
Pēc tam WannaCry ransomware globālā izplatība, un sekojošais Petijas uzliesmojums, šķiet, ka kibernoziedznieki pieliek daudz pūļu, lai izstrādātu īpaši ļaunus izspiedējvīrusu celmus.
Pētnieki nesen atklāja jauns Spora ransomware celms kas papildus izpirkuma maksas izspiešanai no upuriem arī nozog viņu pilnvaras.
Saistīts pārklājums
Kā Bitcoin palīdzēja izraisīt sprādzienu izspiedējvīrusu uzbrukumos
Drošai maksājumu sistēmai Bitcoin ir daudz likumīgu lietojumu, taču tāpat kā citas tehnoloģijas tā ir bijusi izdevīga arī kibernoziedzniekiem, kuri meklē jaunus naudas izspiešanas veidus.
Pikšķerēšana: vai jūs iekristu kādā no šiem krāpnieciskajiem e-pastiem?
Jūrā joprojām ir daudz vairāk pikšķerēšanas, jo darbinieki nevar pārtraukt klikšķināt uz krāpnieciskiem e-pastiem. Vai šie jūs maldinātu?
LASĪT VAIRĀK PAR KIBERNOZIEDZĪBU
- Ransomware: gudra cilvēka ceļvedis [TechRepublic]
- Pēc WannaCry izpirkuma programmatūra pasliktināsies, pirms tā kļūs labāka
- Vispasaules izspiedējvīrusu uzlaušana skar slimnīcas un tālruņu uzņēmumus [CNET]
- Izpirkuma programmatūra tika vainota kiberuzbrukumā, kas lika slimnīcām atcelt operācijas un izslēgt sistēmas
- Vairs nav izspiedējprogrammatūras: kā viena vietne aptur kriptobloķēšanas blēžus