FiveHands Ransomware kradnie i szyfruje pliki, grozi ujawnieniem ich online

FiveHands Ransomware to trojan szyfrujący pliki, który znacznie różni się od zwykłych programów do blokowania plików, z którymi mają do czynienia użytkownicy. Zazwyczaj ataki ransomware są raczej chaotyczne, a ich sprawcy koncentrują się na ilości, a nie na jakości. Czasami jednak bardziej zaawansowane podmioty zagrażające atakują określoną grupę ofiar, które z większym prawdopodobieństwem rozważą zapłacenie okupu. Tak jest w przypadku nowo zidentyfikowanego oprogramowania FiveHands Ransomware. Zagrożenie to ma podobieństwa z rodzinami DeathRansom i HelloKitty Ransomware, ale badacze nie są w stanie stwierdzić z całą pewnością, czy za wszystkimi tymi rodzinami ransomware stoi ta sama grupa.

Innym interesującym faktem dotyczącym oprogramowania FiveHands Ransomware jest wektor infekcji, którego używa. Zamiast polegać na wiadomościach phishingowych, sprawcy wykorzystali lukę zero-day w sprzęcie SonicWall SMA 100 Series VPN. Luka w zabezpieczeniach została załatana w lutym, ale klienci, którzy jeszcze nie zastosowali aktualizacji, są narażeni na zagrożenie bezpieczeństwa systemu. Omawiana luka umożliwia atakującym wykonanie dowolnego kodu, co może umożliwić im ręczne umieszczenie złośliwego oprogramowania w zaatakowanych systemach. Należy zauważyć, że FiveHands Ransomware był zwykle ostatnim zagrożeniem, które zostało odrzucone - wcześniej przestępcy polegali na sygnalizatorze Cobalt Strike, a także trojanie SombRAT.

Podobnie jak typowe ataki ransomware, ten również kończy się komunikatem dla ofiary. Notatka mówi, że użytkownicy muszą używać wbudowanego klienta wiadomości, aby rozmawiać z napastnikami i dowiedzieć się, jak odzyskać swoje dane. Przestępcy nie tylko grożą wyczyszczeniem klucza deszyfrującego, ale także ostrzegają swoje ofiary, że ich dane mogą zostać opublikowane online, jeśli nie zgodzą się zapłacić.

Niestety, szyfrowanie FiveHands Ransomware nie jest wadliwe, a bezpłatne odszyfrowanie nie wchodzi w grę - przywrócenie z kopii zapasowej jest najlepszym sposobem na cofnięcie szkód. Kampanie takie jak ta dobrze przypominają, dlaczego zarówno administratorzy systemów, jak i użytkownicy domowi powinni dbać o aktualizację całego oprogramowania.