Een nep-COVID-19 Contact Tracing App verbergt Unicorn Ransomware
Meestal kun je door hun aanvallen veel vertellen over een cybercrimineel. De trucs die ze gebruiken, geven ons vaak een goed idee van hoe geavanceerd de tegenstander is, maar een recente campagne die de Unicorn-ransomware distribueerde, bewees dat schijn soms bedrieglijk kan zijn.
Table of Contents
De Unicorn-ransomware raakt Italiaanse apotheken
De aanval werd voor het eerst gedetecteerd door een beveiligingsonderzoeker met de bijnaam JamesWT. Het lijkt volledig gericht te zijn op Italiaanse apotheken en het maakt gebruik van de COVID-19-crisis om gebruikers te misleiden tot het installeren van een relatief nieuwe ransomware-stam genaamd Unicorn.
Ook bekend als F *** unicorn, lijkt de malware speciaal voor dit doel te zijn gemaakt en het lijkt erop dat de aanval groot genoeg is om een advies van het Italiaanse Computer Emergency Response Team (CERT) te rechtvaardigen.
De hackers hebben zichzelf overtroffen als het gaat om social engineering
Het begint met een e-mail die naar verluidt afkomstig is van de Italiaanse apothekersfederatie. Er staat dat de Federatie een bètaversie van een pc-app lanceert die realtime gegevens biedt over de verspreiding van het nieuwe coronavirus. Er is een downloadlink en de hackers hebben een techniek genaamd typosquatting gebruikt om de URL er overtuigender uit te laten zien.
De website van de Italiaanse apothekersfederatie is http://www.fofi.it/ en het uitvoerbare bestand wordt gehost op hxxtp: //www.fofl.it (met een kleine letter "L" in plaats van een "i"). Door een visueel vergelijkbaar domein te gebruiken, merkt het slachtoffer minder snel dat er iets mis is. Er zijn nog meer tactieken om de aandacht weg te houden van de kwaadaardige activiteiten.
Na de lancering toont het schadelijke bestand een kaart met gegevens die lijken te zijn gekopieerd van de Johns Hopkins University. Het is zeker geen nieuwe tactiek, maar het is bijna zeker dat het slachtoffer wordt afgeleid terwijl de ransomware de geïnfecteerde pc-bestanden versleutelt.
Tot nu toe lijkt het erop dat de aanval is gelanceerd door een professionele hacker die weet wat hij doet. Toen de experts de ransomware ontleedden en zagen hoe het werkte, realiseerden ze zich echter dat de aanvaller waarschijnlijk niet zo geavanceerd is.
De Unicorn-ransomware is geen geavanceerde bedreiging
De onderzoekers vermoeden dat de aanvaller Italiaans is. Er is een duidelijk gebrek aan grammaticale fouten in de phishing-e-mail en sommige artefacten in de code suggereren dat de persoon die de malware heeft geschreven Leonardo wordt genoemd.
Leonardo lijkt een fan te zijn van de Griekse mythologie. De losgeldbrief kondigt aan dat de slang op Asclepius 'staf van streek is en dat er een nieuw tijdperk op komst is. De versleuteling van de bestanden wordt vergeleken met het vuur van Prometheus en het slachtoffer wordt verteld dat ze door een losgeld van € 300 (ongeveer $ 330) te betalen, de kans krijgen om zichzelf te verlossen voor "jaren van zonden en misstanden".
De losgeldbrief bevat een bitcoin-adres waar het geld naartoe moet, en er is ook een e-mailadres dat slachtoffers moeten gebruiken om contact op te nemen met de hackers zodra het losgeld is betaald. Een snelle controle onthult dat tot nu toe het bitcoin-adres dat in de losgeldnota is opgenomen geen transacties heeft geregistreerd, wat net zo goed is omdat het e-mailadres van de hackers ongeldig lijkt te zijn. Het lijkt erop dat Leonardo (of wie dan ook aan de andere kant van de Unicorn-ransomware zit) absoluut niet van plan is om je te helpen je bestanden terug te krijgen.
Gelukkig heb je hun hulp niet echt nodig. Uit een analyse van de ransomware blijkt dat het wachtwoord dat wordt gebruikt om de bestanden te decoderen, in platte tekst wordt verzonden en kan worden opgehaald uit de communicatielogboeken.
De gebreken in de Unicorn-ransomware compenseren tot op zekere hoogte de slimme social engineering-technieken en maken de aanval iets minder gevaarlijk. De campagne mag echter niet worden onderschat. De aanvallers kunnen op elk moment overschakelen naar een krachtigere ransomware-soort en allerlei problemen veroorzaken.
