Жертви по всьому світу під ударами злочинців, які можуть за бажанням перемикати зловмисне навантаження електронних листів між Locky і FakeGlobal.
Жертви кампанії могли виявити, що їхні системи заражені двома типами програм-вимагачів.
Бути зараженим однією формою програм-вимагачів досить погано, але ті, на жаль, стати жертвою нової Кампанії кіберзлочинців можуть заплатити за розшифровку своїх файлів не один, а двічі.
Хоча широко поширена спам-кампанія електронною поштою з метою розповсюдження програм-вимагачів не є чимось новим, ті, хто стоїть за схема, виявлена у вересні, додала родзинку в цю випробувану техніку: ротацію корисного навантаження програм-вимагачів.
Дві форми програм-вимагачів, які поширюються за цією схемою, — це Locky, яка нещодавно з’явилася бачив щось відродження - і FakeGlobe, який вперше з'явився в червні. Ті, хто стоїть за кампанією, розробили її так, щоб корисне навантаження можна було міняти місцями, тобто спам може відправляти Locky одну годину, а наступну — FakeGlobe.
Виявлено дослідниками кібербезпеки у Trend Micro, характер кампанії означає, що жертви, заражені однією формою програм-вимагачів, усе ще можуть бути вразливими до наступної атаки з боку наступної в ротації.
Хоча це не перший випадок, коли ті самі шкідливі сервери почергово обслуговують різні зловмисні програми, раніше зловмисники поєднували троянські програми з програмами-вимагачами. - подвоєння програм-вимагачів раніше було рідкісним явищем, але ця нова розробка небезпечна для жертв, які могли здатися та заплатити викуп, щоб виявити, що заразилися знову.
Сотні тисяч фішингові листи замасковані під рахунки та онлайн-рахунки-фактури були розповсюджені потенційним жертвам по всьому світу, заохочуючи ціль натиснути посилання, щоб переглянути рахунок.
Дивись також: Блоковане програмне забезпечення-вимагач: чому ця загроза постійно повертається | Програми-вимагачі: довідник щодо однієї з найбільших загроз в Інтернеті
Це посилання містить zip-файл, який після відкриття запускає сценарій для підключення до URL-адреси для завантаження програми-вимагача – Locky або FakeGlobe.
Дослідники вважають, що корисне навантаження змінюється кожні кілька годин, а це означає, що один комп’ютер у мережі може заразитися програми-вимагачі - і підкоряться вимогам викупу - до того, як комусь іншому в мережі вдасться стати жертвою іншої програми-вимагача за кілька годин пізніше.
«Оскільки Locky і FakeGlobe просуваються по черзі, файли можна повторно зашифрувати за допомогою іншої програми-вимагача. Жертвам доведеться платити двічі або ще гірше, втрачати свої дані назавжди», – заявили в Trend Micro дослідники.
Хоча точні цифри кількості заражень цією кампанією невідомі, вважається, що використання цього методу розповсюдження доставляти програми-вимагачі по черзі, заразив користувачів у понад 70 країнах, включаючи Японію, Китай, Сполучені Штати та Німеччина.
Ця остання розробка є яскравим нагадуванням про те, що, хоча це вже успішне підприємство для злочинців, програми-вимагачі постійно розвиваються.
Після кампанії Locky знову еволюціонував, з дослідником Stormshield виявлення нового варіанту програми-вимагача Ykcol, яка є зворотним написанням Locky. Попередні нові варіанти, які з’явилися останнім часом включають Діабло і Лукіта.
ЧИТАТИ БІЛЬШЕ ПРО КІБЕРЗЛОЧИННІСТЬ
- Блоковане програмне забезпечення-вимагач: як ця загроза зловмисного програмного забезпечення розвивалася лише за 12 місяців
- Програми-вимагачі закривають 1 з 5 малих підприємств після того, як потрапляють [CNET]
- Що таке фішинг? Як захистити себе від шахрайських електронних листів тощо
- Масштабна кампанія програм-вимагачів Locky надсилає 23 мільйони повідомлень за 24 години [TechRepublic]
- Після WannaCry програми-вимагачі погіршаться, перш ніж покращаться