En falsk COVID-19-kontaktspårningsapp döljer Unicorn Ransomware
Vanligtvis kan du berätta mycket om en cyberkriminalitet från deras attacker. De trick som de använder ger oss ofta en god uppfattning om hur sofistikerad motståndaren är, men en ny kampanj som distribuerar Unicorn-ransomware visade att ibland kan utseende lura.
Table of Contents
Unicorn ransomware träffar italienska apotek
Attacken var först upptäcktes av en säkerhetsforskare går under smeknamnet JamesWT. Det verkar vara riktat riktigt mot italienska apotek, och det drar nytta av COVID-19-krisen för att lura användare att installera en relativt ny ransomware-stam som heter Unicorn.
Även känd som F *** unicorn, skadlig programvara verkar ha skapats speciellt för ändamålet, och det ser ut som att attacken är tillräckligt stor för att motivera en rådgivning från Italiens Computer Emergency Response Team (CERT).
Hackarna har överträffat sig själva när det gäller socialteknik
Det börjar med ett e-postmeddelande som påstås komma från italienska farmaceutförbundet. Det säger att Federation lanserar en betaversion av en PC-app som tillhandahåller data i realtid om spridningen av det nya coronavirus. Det finns en nedladdningslänk, och hackarna har använt en teknik som kallas typquatting för att göra URL: en mer övertygande.
Den italienska farmaceutföreningens webbplats är http://www.fofi.it/, och den körbara filen är värd på hxxtp: //www.fofl.it (med en "L" i stället för ett "i"). Genom att använda en visuellt liknande domän är det mindre troligt att ofret märker att något är fel. Det finns ännu fler taktik för att hålla uppmärksamheten borta från skadlig aktivitet.
När den skadliga filen har lanserats visar en karta med data som verkar ha kopierats från Johns Hopkins University. Det är inte alls en ny taktik, men det är nästan säkert att hålla offret distraherat medan ransomware krypterar den infekterade datorns filer.
Hittills ser det ut som att attacken har inletts av en professionell hackare som vet vad de gör. När experterna dissekerade ransomware och såg hur det fungerar, insåg de dock att angriparen förmodligen inte är så sofistikerad.
Unicorn ransomware är inte ett sofistikerat hot
Forskarna misstänker att angriparen är italiensk. Det finns en tydlig brist på grammatiska fel i phishing-e-postmeddelandet, och vissa artefakter som finns kvar i koden antyder att personen som skrev skadlig programvara heter Leonardo.
Leonardo verkar vara ett fan av grekisk mytologi. Lösningsmeddelandet meddelar att ormen på Asclepius personal är upprörd och att en ny era är på väg att komma. Krypteringen av filerna jämförs med Prometheus eld, och offret berättas att genom att betala en lösning på 300 € (cirka $ 330) får de en chans att lösa sig själva för "år av synder och missbruk."
Lösningsmeddelandet innehåller en bitcoin-adress där pengarna ska gå, och det finns också en e-postadress som offren måste använda för att komma i kontakt med hackarna när lösen betalas. En snabbkontroll avslöjar att hittills har bitcoin-adressen som ingår i lösningsmeddelandet inte registrerat några transaktioner, vilket är lika bra eftersom hackarens e-postadress verkar vara ogiltig. Det ser ut som att Leonardo (eller den som sitter på andra sidan av Unicorn-ransomware) inte har någon avsikt att hjälpa dig att få dina filer tillbaka.
Tack och lov behöver du inte riktigt deras hjälp. En analys av ransomware visar att lösenordet som används för att dekryptera filerna skickas i vanlig text och kan hämtas från kommunikationsloggarna.
Bristerna i Unicorn ransomware kompenserar till viss del för den smarta socialtekniska tekniken och gör attacken lite mindre farlig. Kampanjen bör dock inte underskattas. När som helst kan angriparna byta till en kraftigare ransomware-belastning och orsaka alla möjliga problem.
