Netikrą „COVID-19“ kontaktų paieškos programą paslėpė vienaragis „Ransomware“

Unicorn Ransomware Covid-19 PC App

Paprastai iš jų užpuolimų galima daug papasakoti apie elektroninį nusikaltėlį. Jų naudojami triukai dažnai leidžia mums gerai suprasti, koks sudėtingas yra priešininkas, tačiau neseniai atlikta kampanija, platinanti „Unicorn“ išpirkos programas, įrodė, kad kartais išvaizda gali būti apgaulinga.

„Unicorn“ išpirkos programa pasiekia Italijos vaistines

Išpuolį pirmiausia aptiko saugumo tyrinėtojas, pravarde JamesWT. Atrodo, kad jis nukreiptas tiesiai į Italijos vaistines, ir pasinaudodamas COVID-19 krize, apgauna vartotojus įdiegdamas palyginti naują „ransomware“ padermę, vadinamą „Unicorn“.

Kenkėjiška programinė įranga, taip pat žinoma kaip F *** vienaragis, atrodo, kad buvo sukurta specialiai tam tikslui, ir atrodo, kad išpuolis yra pakankamai didelis, kad reikia Italijos reagavimo į kompiuterinę situaciją komandos (CERT) patarimo.

Piratai pralenkė save, kai kalbama apie socialinę inžineriją

Jis prasideda el. Laišku, kuriuo tariama, kad jį gaus Italijos vaistininkų federacija. Joje sakoma, kad federacija pradeda kompiuterio programos beta versiją, kuri realiu laiku teikia duomenis apie naujojo koronaviruso plitimą. Yra atsisiuntimo nuoroda, o įsilaužėliai naudojo techniką, vadinamą rašymo klaidomis, kad URL atrodytų įtikinamiau.

Italijos vaistininkų federacijos svetainė yra http://www.fofi.it/, o vykdomoji byla yra talpinama hxxtp: //www.fofl.it (mažosiomis raidėmis „L“, o ne „i“). Naudodamas vizualiai panašų domeną auka yra mažiau linkusi pastebėti, kad kažkas negerai. Yra dar daugiau taktikų, kaip atitraukti dėmesį nuo kenkėjiškos veiklos.

Paleidus kenkėjišką failą rodomas žemėlapis su duomenimis, kurie, atrodo, buvo nukopijuoti iš Johns Hopkins universiteto. Tai jokiu būdu nėra nauja taktika, tačiau beveik visiškai svarbu išlaikyti auką blaškomą, kol išpirkos programa užkoduoja užkrėsto kompiuterio failus.

Kol kas atrodo, kad ataką pradėjo profesionalus įsilaužėlis, kuris žino, ką daro. Kai ekspertai išpjaustė išpirkos programinę įrangą ir pamatė, kaip tai veikia, jie suprato, kad užpuolikas greičiausiai nėra toks sudėtingas.

„Unicorn“ išpirkos programa nėra sudėtinga grėsmė

Tyrėjai įtaria, kad užpuolikas yra italas. Sukčiavimo el. Laiške aiškiai trūksta gramatinių klaidų, o kai kurie kode esantys daiktai leidžia manyti, kad kenkėjišką programą parašęs asmuo yra vadinamas Leonardo.

Panašu, kad Leonardo yra graikų mitologijos gerbėjas. Išpirkos rašte skelbiama, kad Asclepiuso personalo gyvatė nusiminusi ir kad artėja nauja era. Bylų šifravimas lyginamas su „Prometėjo“ gaisru, o aukai sakoma, kad sumokėjus 300 eurų (apie 330 USD) išpirką, jiems suteikiama galimybė išpirkti save už „nuodėmių ir piktnaudžiavimo metus“.

Išpirkos rašte yra nurodytas „bitcoin“ adresas, kuriuo turėtų būti pervesti pinigai, taip pat yra el. Pašto adresas, kurį aukos privalo naudoti norėdami susisiekti su įsilaužėliais, kai tik bus sumokėta išpirka. Greitas patikrinimas atskleidžia, kad iki šiol bitkoino adresas, įtrauktas į išpirkos raštelį, neužregistravo jokių operacijų, o taip pat todėl, kad įsilaužėlių el. Pašto adresas atrodo negaliojantis. Panašu, kad Leonardo (ar kas sėdės kitoje „Unicorn“ išpirkos programinės įrangos pusėje) visiškai neketina padėti jums susigrąžinti failų.

Laimei, jums tikrai nereikia jų pagalbos. Išpirkos programos analizė rodo, kad failams iššifruoti naudojamas slaptažodis yra siunčiamas paprastu tekstu ir jį galima nuskaityti iš ryšių žurnalų.

„Unicorn“ išpirkos programos trūkumai tam tikru mastu kompensuoja protingus socialinės inžinerijos metodus ir daro ataką šiek tiek mažiau pavojingą. Vis dėlto nereikėtų nuvertinti kampanijos. Bet kuriuo metu užpuolikai gali persijungti į galingesnį išpirkos programų tipą ir sukelti visokių problemų.

May 28, 2020
Įkeliama ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.