„Android“ „Ransomware“, vadinama „CryCryptor“, yra paslėpta Kanadoje naudojant suklastotą „COVID-19“ sekimo programą
Antradienį „Twitter“ rankena „Re-ind“ einantis nepriklausomas grįžtamasis inžinierius suklupo pora neseniai užregistruotų domenų, bandydami stumti kenkėjišką „Android“ programą. Pradiniame „Re-ind“ tyrime buvo teigiama, kad sukčiai platino bankininkystės trojaną, tačiau po to, kai ESET tyrėjai atidžiau pasidomėjo, jie suprato, kad tai iš tikrųjų yra nauja išpirkos programų rūšis, vadinama „CryCryptor“. Iš pirmo žvilgsnio atrodė, kad kampanija buvo modernios kibernetinės kriminalinės gaujos smegenys.
Table of Contents
Kibernetinės juostos vėl naudojasi COVID-19 pandemija
Kenkėjiškos svetainės buvo sukurtos praėjus kelioms dienoms po to, kai Kanados ministras pirmininkas Justinas Trudeau paskelbė, kad vyriausybė remia COVID-19 kontaktų paieškos programą. Kaip ir kitos šalys visame pasaulyje, Kanada šiuo metu rengia programą, kuri turėtų įspėti žmones, kurie artimai bendravo su patvirtintais koronaviruso atvejais. Programa vis dar tobulinama ir greičiausiai ji bus paleista kito mėnesio pradžioje. Kibernetiniai nusikaltėliai vylėsi, kad žmonės to nežino.
Jie įdėjo daug pastangų, kad paslėptų „CryCryptor“ išpirkos programinę įrangą kaip būsimą Kanados kontaktų paieškos programą COVID-19. Pirmuosiuose puslapiuose buvo padaryta puiki užduotis apsimetant Kanados vyriausybės svetaine ir, kaip pabrėžė ESET tyrėjai, trūko įprastų gramatinių ir rašybos klaidų.
Buvo pora pastraipų, pristatančių programą ir paaiškinančią jos pranašumus, o kairėje iš jų buvo milžiniškas mygtukas „Gaukite ją„ Google Play ““. Apmaudu, tačiau gana smulkiu šriftu po minėtu mygtuku buvo rašoma, kad „Google Play“ vis dar tvirtina programą, todėl atsisiųsti programą buvo galima tik iš „mūsų serverio“. Be to, praktiškai nebuvo nieko, kas galėtų atiduoti sukčiavimą.
Netrukus sužinoję apie grėsmę, ESET tyrėjai pranešė Kanados kibernetinio saugumo centrui, o per kelias valandas kenksmingų svetainių nebuvo. Žinoma, prieš tai nutikus, ekspertai atidžiau pažvelgė į „CryCryptor“ išpirkos programinę įrangą.
„CryCryptor“ nėra labai sudėtinga grėsmė
Daugelis „Android“ išpirkos programų padermių išvengia sudėtingo duomenų šifravimo verslo ir vietoj to tiesiog keičia įrenginio slaptažodį. „CryCryptor“ nėra vienas iš jų.
„Ransomware“ nuskaito duomenis naudodama AES, sudeda juos į failą su .enc plėtiniu ir pašalina pradinį failą. Kiekvienam užšifruotam failui išpirkos programa sukuria du kitus, kuriuose yra unikali druska ir iniciacijos vektorius.
Užbaigus šifravimą, „CryCryptor“ praneša vartotojui, kad jų duomenys buvo užšifruoti, ir ragina juos vykdyti instrukcijas, pateiktas faile „readme_now.txt“. Išpirkos rašte nenurodoma tikroji išpirkos suma, o vartotojui suteikiamas unikalus ID ir el. Pašto adresas, su kuriuo reikia susisiekti. Laimei, sukčių reikalavimai šiuo atveju nėra tokie svarbūs, nes „CryCryptor“ užšifruotus failus galima gauti nemokamai.
ESET tyrėjai sukūrė modifikuotą išpirkos programinę įrangą ir išsiaiškino, kad norėdami išvengti šifravimo rakto perkėlimo į „Command & Control“ serverį (C&C) ir iš jo, sukčiai nusprendė jį saugoti įrenginyje. Dėl šios priežasties saugumo ekspertai sugebėjo sukurti ir išleisti nemokamą iššifravimo įrankį, kuris padeda „CryCryptor“ paveiktiems vartotojams susigrąžinti savo duomenis nemokant išpirkos.
Tolesnis tyrimas patvirtino, kad nusikaltėliai buvo gana tingūs, kai jie ruošėsi techninei puolimo pusei. Jie net nesivargino sugalvoti savo „ransomware“ šeimos. Vietoj to, jie „CryCryptor“ pagrindė „CryDroid“ - „Android“ išpirkos programų padermę, kuri neseniai buvo atvira „GitHub“.
Problema su atvirojo kodo išpirkos programomis
„CryDroid“ saugykloje esantis „Read Me“ failas sako, kad autorius yra saugumo ekspertas, norintis pasidalinti kodu su kolegomis tyrinėtojais ir kenkėjiška programinė įranga neturėtų būti naudojama pulti nekaltas aukas. Aišku, tai netrukdė kibernetiniams nusikaltėliams tuo piktnaudžiauti. Tiesą sakant, kodas tapo viešas birželio 11 d., Ir tik po savaitės jis jau buvo pakeistas ir parengtas naudoti Kanados vartotojams.
Tai taip pat nėra pirmas kartas. 2015 m. Saugumo ekspertas naudojo „GitHub“, norėdamas pasidalyti „Windows“ išpirkos programinės įrangos grėsme, paslėpta ašara. Jis netyčia sukėlė daugybę failų šifravimo grėsmių, kurios ir toliau kankina vartotojus iki šiol. Daugelis kampanijų, pagrįstų viešai prieinama kenkėjiška programine įranga, gali būti nedidelės ir gana nekenksmingos, tačiau tai nekeičia fakto, kad net ir turėdamas geriausius ketinimus pasaulyje, atvirojo kodo kenkėjiškas kodas labai palengvina elektroninių nusikaltėlių gyvenimą. Šiuo metu saugumo ekspertai turėtų žinoti geriau.