Μια ψεύτικη εφαρμογή ανίχνευσης επαφών COVID-19 κρύβει το Unicorn Ransomware
Συνήθως, μπορείτε να πείτε πολλά για έναν εγκληματία στον κυβερνοχώρο από τις επιθέσεις τους. Τα κόλπα που χρησιμοποιούν συχνά μας δίνουν μια καλή ιδέα για το πόσο εξελιγμένος είναι ο αντίπαλος, αλλά μια πρόσφατη εκστρατεία που διανέμει το Unicorn ransomware απέδειξε ότι μερικές φορές, η εμφάνιση μπορεί να είναι παραπλανητική.
Table of Contents
Το Unicorn ransomware χτυπά τα ιταλικά φαρμακεία
Η επίθεση εντοπίστηκε για πρώτη φορά από έναν ερευνητή ασφαλείας με το ψευδώνυμο JamesWT. Φαίνεται να απευθύνεται ακριβώς στα ιταλικά φαρμακεία και εκμεταλλεύεται την κρίση COVID-19 για να εξαπατήσει τους χρήστες να εγκαταστήσουν ένα σχετικά νέο στέλεχος ransomware που ονομάζεται Unicorn.
Επίσης γνωστό ως F *** unicorn, το κακόβουλο λογισμικό φαίνεται να έχει δημιουργηθεί ειδικά για το σκοπό αυτό, και φαίνεται ότι η επίθεση είναι αρκετά μεγάλη ώστε να δικαιολογεί συμβουλή από την Ιταλική Ομάδα Ανταπόκρισης Υπολογιστών (CERT).
Οι χάκερ έχουν ξεπεράσει τον εαυτό τους όσον αφορά την κοινωνική μηχανική
Ξεκινά με ένα email που υποτίθεται ότι προέρχεται από την Ιταλική Ομοσπονδία Φαρμακοποιών. Λέει ότι η Ομοσπονδία λανσάρει μια έκδοση beta μιας εφαρμογής υπολογιστή που παρέχει δεδομένα σε πραγματικό χρόνο σχετικά με την εξάπλωση του νέου coronavirus. Υπάρχει ένας σύνδεσμος λήψης και οι χάκερ έχουν χρησιμοποιήσει μια τεχνική που ονομάζεται typosquatting για να κάνουν τη διεύθυνση URL να φαίνεται πιο πειστική.
Ο ιστότοπος της Ιταλικής Ομοσπονδίας Φαρμακοποιών είναι http://www.fofi.it/ και το εκτελέσιμο αρχείο φιλοξενείται στη διεύθυνση hxxtp: //www.fofl.it (με πεζά "L" αντί για "i"). Χρησιμοποιώντας έναν οπτικά παρόμοιο τομέα, το θύμα είναι λιγότερο πιθανό να παρατηρήσει ότι κάτι δεν πάει καλά. Υπάρχουν ακόμη περισσότερες τακτικές για να κρατήσετε την προσοχή μακριά από την κακόβουλη δραστηριότητα.
Μόλις ξεκινήσει, το κακόβουλο αρχείο εμφανίζει έναν χάρτη με δεδομένα που φαίνεται να έχουν αντιγραφεί από το Πανεπιστήμιο Johns Hopkins. Σε καμία περίπτωση δεν είναι μια νέα τακτική, αλλά είναι σχεδόν βέβαιο ότι θα αποσπάσει την προσοχή του θύματος ενώ το ransomware κρυπτογραφεί τα μολυσμένα αρχεία του υπολογιστή.
Μέχρι στιγμής, φαίνεται ότι η επίθεση έχει ξεκινήσει από έναν επαγγελματία χάκερ που ξέρει τι κάνουν. Όταν οι ειδικοί ανατέλεσαν το ransomware και είδαν πώς λειτουργεί, ωστόσο, συνειδητοποίησαν ότι ο εισβολέας πιθανώς δεν είναι τόσο εξελιγμένος.
Το Unicorn ransomware δεν είναι μια περίπλοκη απειλή
Οι ερευνητές υποπτεύονται ότι ο εισβολέας είναι Ιταλός. Υπάρχει μια ξεχωριστή έλλειψη γραμματικών σφαλμάτων στο ηλεκτρονικό ταχυδρομείο ηλεκτρονικού "ψαρέματος" και ορισμένα αντικείμενα που απομένουν στον κώδικα υποδηλώνουν ότι το άτομο που έγραψε το κακόβουλο λογισμικό ονομάζεται Leonardo.
Ο Λεονάρντο φαίνεται να είναι οπαδός της ελληνικής μυθολογίας. Το σημείωμα λύτρων ανακοινώνει ότι το φίδι στο προσωπικό του Ασκληπιού είναι αναστατωμένο και ότι πρόκειται να έρθει μια νέα εποχή. Η κρυπτογράφηση των αρχείων συγκρίνεται με τη φωτιά του Προμηθέα, και το θύμα λέγεται ότι πληρώνοντας λύτρα 300 € (περίπου 330 $), τους δίνεται η ευκαιρία να εξαργυρωθούν για «χρόνια αμαρτιών και καταχρήσεων».
Η σημείωση για τα λύτρα περιλαμβάνει μια διεύθυνση bitcoin όπου πρέπει να πηγαίνουν τα χρήματα και υπάρχει επίσης μια διεύθυνση ηλεκτρονικού ταχυδρομείου που πρέπει να χρησιμοποιούν τα θύματα για να έρχονται σε επαφή με τους χάκερ μόλις πληρωθούν τα λύτρα. Ένας γρήγορος έλεγχος αποκαλύπτει ότι μέχρι στιγμής, η διεύθυνση bitcoin που περιλαμβάνεται στη σημείωση λύτρων δεν έχει καταχωρήσει συναλλαγές, κάτι που είναι εξίσου καλό επειδή η διεύθυνση ηλεκτρονικού ταχυδρομείου των χάκερ φαίνεται να είναι άκυρη. Φαίνεται ότι ο Leonardo (ή όποιος κάθεται στην άλλη πλευρά του Unicorn ransomware) δεν έχει απολύτως καμία πρόθεση να σας βοηθήσει να επιστρέψετε τα αρχεία σας.
Ευτυχώς, δεν χρειάζεστε πραγματικά τη βοήθειά τους. Μια ανάλυση του ransomware δείχνει ότι ο κωδικός πρόσβασης που χρησιμοποιείται για την αποκρυπτογράφηση των αρχείων αποστέλλεται σε απλό κείμενο και μπορεί να ανακτηθεί από τα αρχεία καταγραφής επικοινωνίας.
Τα ελαττώματα του Unicorn ransomware αντισταθμίζουν σε κάποιο βαθμό τις έξυπνες τεχνικές κοινωνικής μηχανικής και κάνουν την επίθεση λίγο λιγότερο επικίνδυνη. Ωστόσο, η καμπάνια δεν πρέπει να υποτιμάται. Ανά πάσα στιγμή, οι επιτιθέμενοι μπορούν να στραφούν σε ένα πιο ισχυρό στέλεχος ransomware και να προκαλέσουν κάθε είδους προβλήματα.
