En falsk COVID-19-sporingsapp skjuler Unicorn Ransomware
Vanligvis kan du fortelle mye om en nettkriminell fra angrepene deres. Triksene de bruker gir oss ofte et godt inntrykk av hvor sofistikert motstanderen er, men en nylig kampanje som distribuerte Unicorn-løseprogrammet, beviste at utseendet noen ganger kan være bedragende.
Table of Contents
Unicorn ransomware treffer italienske apotek
Angrepet ble først oppdaget av en sikkerhetsforsker som gikk under kallenavnet JamesWT. Det ser ut til å være rettet rett mot italienske apotek, og det drar nytte av COVID-19-krisen for å lure brukere til å installere en relativt ny ransomware-stamme kalt Unicorn.
Også kjent som F *** enhjørning, ser ut til at skadelig programvare har blitt opprettet spesielt for formålet, og det ser ut som angrepet er stort nok til å garantere en rådgivning fra Italias Computer Emergency Response Team (CERT).
Hackerne har overgått seg selv når det gjelder sosialteknikk
Det starter med en e-post som påstås å komme fra det italienske farmasøytforbundet. Den sier at Federation lanserer en beta-versjon av en PC-app som gir sanntidsdata om spredning av det nye coronavirus. Det er en nedlastingslenke, og hackerne har brukt en teknikk som heter typosquatting for å gjøre nettadressen mer overbevisende.
Det italienske farmasøytforbundets nettsted er http://www.fofi.it/, og den kjørbare filen er hostet på hxxtp: //www.fofl.it (med en liten bokstav "L" i stedet for et "i"). Ved å bruke et visuelt lignende domene, er det mindre sannsynlig at offeret legger merke til at noe er galt. Det er enda flere taktikker for å holde oppmerksomheten borte fra ondsinnet aktivitet.
Når den ondsinnede filen ble lansert, viser det et kart med data som ser ut til å ha blitt kopiert fra Johns Hopkins University. Det er på ingen måte en ny taktikk, men det er nesten sikkert å holde offeret distrahert mens ransomware krypterer den infiserte PC-filene.
Så langt ser det ut som angrepet er blitt lansert av en profesjonell hacker som vet hva de gjør. Da ekspertene dissekerte ransomware og så hvordan det fungerer, skjønte de imidlertid at angriperen sannsynligvis ikke er så sofistikert.
Unicorn ransomware er ikke en sofistikert trussel
Forskerne mistenker at angriperen er italiensk. Det er en tydelig mangel på grammatiske feil i phishing-e-posten, og noen gjenstander som er igjen i koden antyder at personen som skrev skadelig programvare heter Leonardo.
Leonardo ser ut til å være tilhenger av gresk mytologi. Innløsningsnotatet kunngjør at slangen på staben til Asclepius er opprørt og at en ny æra er i ferd med å komme. Krypteringen av filene sammenlignes med Prometheus 'ild, og offeret blir fortalt at ved å betale en løsepenger på 300 € (ca. $ 330), får de en sjanse til å løse seg selv for "år med synder og overgrep."
Løsningsbrevet inneholder en bitcoin-adresse hvor pengene skal gå, og det er også en e-postadresse som ofrene må bruke for å komme i kontakt med hackerne når løsepengene er betalt. En rask sjekk avslører at så langt har bitcoin-adressen som er inkludert i løseposten, ikke registrert noen transaksjoner, noe som er like bra fordi hackernes e-postadresse ser ut til å være ugyldig. Det ser ut som om Leonardo (eller den som sitter på den andre siden av Unicorn-ransomware) absolutt ikke har noen intensjon om å hjelpe deg med å få filene dine tilbake.
Heldigvis trenger du ikke egentlig deres hjelp. En analyse av ransomware viser at passordet som brukes til å dekryptere filene, sendes i ren tekst og kan hentes fra kommunikasjonsloggene.
Manglene i Unicorn ransomware kompenserer til en viss grad for de smarte sosialtekniske teknikkene og gjør angrepet litt mindre farlig. Kampanjen skal imidlertid ikke undervurderes. Når som helst kan angriperne bytte til en kraftigere ransomware-belastning og forårsake alle slags problemer.
