Вируси

  • Нов вид криптовируси: крадат и изнудват

    2020 г. започва с нова тенденция при криптовирусите и начините, по които хакерите изнудват жертвите си за откупи.

    Досега, криптовирусите криптираха вашата информация и искаха откуп за нея. Някои плащаха, други не. Сега, за да увеличат шанса да платите, те предприемат нов подход – преди да криптират, източват вашата информация, за да могат да ви изнудват с публикуването й , споделянето й на конкуренти, или излагането й на обществено място с цел да спечелят пари.

    За разлика от sextorsion изнудването, където обикновено се играе на блъф, при Sodinokibi, Maze и Nemty  заплахата е истинска. Това са първите, но вероятно няма да са последните криптовируси, които източват данните на жертвите си преди да ги криптират.

    Как работи измамата

    Досега стандартните криптовируси действаха по добре позната система:

    1. Зараза. Най-често през фишинг имейл, в който има прикачен файл – с привидна сметка, фактура и т.н. Ако жертвата направи грешката да отвори файла, без да разберете, вирусът активира payload, който криптира файловете на системата.
    2. В моментът, в който вирусът криптира данните ви, виждате съобщение, в което се описва исканият откуп и bitcoin портфейл, на който да бъде преведен. Откуп, който много хора отказваха да платят, въпреки загубата на снимки или информация.
    3. Новата стъпка. Отворили сте мнимата фактура или сметка, видели сте, че не е за вас и продължавате с обичайните си ангажименти. Междувременно, информацията ви се източва. След източването на информацията ви на хакерски сървър и криптирането на компютъра ви, виждате на екрана си.  Ако откажете да платите, както много правеха досега, следва новата измама – заплаха, че данните ви ще бъдат дадени на конкуренцията или ще бъдат използвани срещу вас чрез публикуването им. С това хакерите увеличават вероятността да платите и да спечелят повече.

    Така действат Sodinokibi, Maze и Nemty. Ето едно примерно съобщение:

    Съобщение към жертва на Sodinokibi. Снимка: bleepingcomputer.com
    Съобщение към жертва на Sodinokibi. Снимка: bleepingcomputer.com

    Ето и пример. На скрийншота по-горе се вижда как хакерите твърдят, че са откраднали над 50 гигабайта информация. Жертви са компютрите на немската GEDIA Automotive Group, доставчик на компоненти за автомобилно производство с дейност в Германия, Китай, Унгария, Индия, Мексико, Полша, Испания и САЩ. В източените данни фигурират чертежи, данни за служители (над 4 300 души) и клиенти.

    Вижте и: Криптовирус забави работата на 4 болници в Румъния

    Като доказателство за твърдението си, хакерите публикуват Excel файл, в който се съдържа AdRecon репорт за Active Directory средата на GEDIA.

    Заплахата е ясна: платете откупа, в противен случай ще пуснем данните за продажба, а седмица по-късно – и напълно безплатно за сваляне.

    Групата зад Maze стига още по-далеч. Хакерите публикуваха над 700 мегабайта източена от Allied Universal информация – или 10% от общия обем откраднати и криптирани данни. Те дори са се свързали с bleepingcomputer.com, за да разкажат историята си и да споделят част от източените файлове като доказателство:

    Част от източените от Allied Universal данни. Снимка: bleepingcomputer.com
    Част от източените от Allied Universal данни. Снимка: bleepingcomputer.com

    Исканият от тях откуп е бил 300 биткойна или около 2.3 млн. USD. 

    Най-интересната част от комуникацията, според нас, е зададеният въпрос: какви са гаранциите, че след плащането на откупа източените файлове ще бъдат заличени и, че няма да се поиска откуп повече от веднъж. Отговорът е красноречив:

    Не ни интересуват данните. Интересуват ни само парите. Логиката е проста. Ако публикуваме източените данни след откупа, кой ще ни повярва в бъдеще? Нямаме интерес и ще бъде глупаво да публикуваме източените данни, защото няма да спечелим нищо от това. Трием информацията, защото за нас тя не е нещо интересно. Ние не сме шпиони.

    Цялата история на комуникацията между авторите на Maze, Allied Universal и bleepingcomputer.com прочетете тук.

    Собствена мрежа за споделяне на информация

    Видимо, тактиката има смисъл, защото авторите на третия известен подобен вирусNemty – стигат дотам, че планират да създадат собствен сайт, в който под формата на каталог да публикуват данните на жертвите си. Новината е изпратена под формата на пресрилийз, отново до bleepingcomputer.com:

    Плановете на авторите на Nemty, изпратени като пресрилийз. Снимка: bleepingcomputer.com
    Плановете на авторите на Nemty, изпратени като пресрилийз. Снимка: bleepingcomputer.com

    Подобни планове имат и авторите на Maze.

    Nemty е екипиран и да атакува фирми директно. Това ни показва моделът му за централизирана администрация – например, всички засегнати от него компютри в една мрежа, вече могат да бъдат декриптирани с един ключ.

    Много повече от криптиране

    Основният проблем, с който може да се сблъскате, ако станете жертва на подобен вирус, е че последиците няма да се ограничат до загубата на данни.

    Още по темата: Криптовирус принуждава две химически компании да купуват „стотици нови компютри“

    След масовите зарази с криптовируси през последните 2 години, поддържането на бекъп се превърна от бутиково начинание в необходимост и вече много фирми го правят по най-различни начини. Навлизането на услуги в облака също спомогна бизнесите да се почувстват една идея по-защитени от потенциални зарази с ransomware. Все пак, в облака се пази резервно копие на информацията им – което дори в очите на някои обезсмисля закупуването на решение за бекъп.

    Новата тактика, обаче носи допълнителни главоболия. Дори и да имате актуално копие на информацията, в случай, че не бъде платен откупа, не знаете какви данни може да са били източени от компанията ви. Te може да са:

    • Договори
    • Стратегии и планове
    • Лични данни на клиенти и служители
    • Дизайни и чертежи
    • Ноу-хау
    • Бази данни с клиенти
    • Информация за продажби

    А това е само част от възможностите. На практика, публикуването им може да доведе до допълнителни санкциинапример, по GDPR, което може да се окаже сериозна финансова пречка за съществуването на един бизнес.

    Какво да направя в такава ситуация

    Направете всичко възможно да не стигате до нея. Защитете работните си станции с многопластови решения за киберсигурност. Само наличието на антивирусно решение или само на защитна стена вече не достатъчно. Мислете проактивно – защитете организацията си на няколко нива, за да ограничите риска от това да се превърнете в жертва на тази нова вълна.

    Какви са последиците от един криптовирус? Вижте тук. 

    Разчитайте на еволюирали решения за киберсигурност, настроени и поддържани от професионалисти. Потърсете Security Operations Center, който да следи и анализира непрекъснато случващото се в мрежата ви и да реагира в случай на потенциален проблем. Например, да засече, че базите ви данни биват източвани и да ги предпази.

    Хакерите ще стават все по-изобретателни. Еволюирайте, както го правят и те.

     

  • Съветник за лятната ваканция: чеклист за киберсигурността ви

    За да се насладите на почивката си през лятото, ще публикуваме поредица материали със съвети как да намалите риска от кибератака срещу вас и тези, които обичате или тези, с които работите. Следете freedomonline.bg за още материали по темата. 

    Лятото вече тук. Със слънцето идват и почивките, а с почивките идва и намирането на кой да ви замети в офиса, кой да гледа домашния любимец и отговора на въпроса как да намалите риска домът ви да бъде разбит, докато отсъствате.

    Ние ще ви помогнем да решите и още един проблем: как да защитите сигурността на личните си данни докато сте на път.

    1. Преди да тръгнете
    2. Докато пътувате
    3. Ако ще почивате в чужбина
    4. Като се върнете
    5. Не проваляйте забавлението си

    1. Преди да тръгнете

    Подготовката за лятното тяло започва след коледните празници. А подготовката за защитата на личните ви данни започва още преди да сте тръгнали към плажа или планината:

    • Ъпгрейднете операционната система и всички приложения на устройствата, които ще вземете със себе си. Не отлагайте, защото може да се окаже, че нямате възможност – например, да нямате достатъчно добър интернет (или изобщо да нямате интернет). Използвайте домашната Wi-Fi мрежа, която е защитена с парола (ако не е, защитете я още сега).
    • Защитете устройствата, които остават в офиса или у дома. Ако все пак жилището ви бъде разбито и откраднат компютъра ви, крадците не трябва да могат да се сдобия с чувствителната информация него. Защитете всички устройства с парола (поне) и криптирайте съдържанието на тях.
    • Направете резервно копие на данните от устройствата, с които ще пътувате. Така, и да ги загубите, няма да останете без спомените от тях.
    • Не публикувайте календар на лятното си турне (извинете, график на ваканцията си) в профила си в която и да било социална медия. Освен, ако не сте Sting, БТР или друг изпълнител и хилядите ви фенове няма да ви очакват. Публикувайте снимките от ваканцията си когато се върнете. Изгревите, залезите, калмарите и лените коктейли ще са все така интересни и след ваканцията ви.
    • Изключете автоматичното свързване към WiFi мрежа на устройствата си и изтрийте запаметените мрежи в настройките им. Те могат да бъдат използвани от престъпници за т. нар. man-in-the-middle атаки.
    • Ако имате безконтактни дебити и кредитни карти, вземете протектори, за да не се окажете с източени сметки докато се разхождате по плажа или чакате на опашка в магазина.
    • Колкото по-малко устройства носите със себе си, толкова по-малък е шансът да ги счупите, загубите или да ви ги откраднат.
    • Застраховайте устройствата, с които пътувате.

    Още по темата: Прекаленото споделяне в социалните мрежи може да ви съсипе почивката

    2. Докато пътувате

    Дали ще изкарате почивката си в обикаляне, на къмпинг, на хижа в планината или в 5-звезден курорт, рисковите са почти едни и същи. И все пак:

    • Ако паркирате колата си на летище, внимавайте какво оставяте в нея. И препоръчваме да изключите Bluetooth както на колата, така и на телефона си, за да не бъде злоупотребявано с тях.
    Ограничете използването на незащитени WiFi мрежи до минимум.
    Ограничете използването на незащитени WiFi мрежи до минимум.
    • По летища, бензиностанции и ресторанти често има незащитени WiFi мрежи. Ограничете използването им до минимум, а, ако се налага да правите банкови преводи или да пазарувате онлайн през такива мрежи, използвайте VPN.
    • Ако използвате WiFi мрежи в хотела си, то изберете тези, защитени с парола. А, ако ще достъпвате чувствителна служебна информация, правете го само и единствено през VPN.
    • Спрете любопитните погледи като се сдобиете с екран, който позволява ограничаването на зрителния ъгъл на монитора ви. Слагат се и се махат лесно и не струват невероятно много.
    • Не използвайте обществени компютри за достъп до чувствителна информация. В това число влизат служебните данни, онлайн пазаруване и всички видове онлайн трансакции. Харчете там, където сте, не онлайн – по-безопасно е.
    • Ако използвате уеб клиент, за да проверявате пощата си, съобразете се, че той може да е по-незащитен от мейл клиента ви. Например, част от имейл услугите ви показват HTML съдържание по подразбиране, което може да доведе до зараза.
    • Използвайте напълно ъпгрейднато антивирусно решение на всички устройства, с които работите или се забавлявате.
    • Активирайте опциите за SMS известяване за всяка трансакция с картата ви. Така дори и някой да се опита да я източи, ще може да отреагирате навреме.

    3. Ако ще почивате в чужбина

    Излизането зад граница изисква специално внимание.

    САЩ, Китай и някои други държави ще проверят щателно акаунтите ви в профилите в социални мрежи
    САЩ, Китай и някои други държави ще проверят щателно акаунтите ви в профилите в социални мрежи
    • Пътувайте с напълно заредени устройства. Може да ви се наложи да ги използвате и по-дълго от планираното, преди да се доберете до зарядно. Внимавайте и за разликата в стандартите за използваните контакти. Подгответе се предварително, ще ви излезе и по-евтино.
    • САЩ, Китай и някои други държави ще проверят щателно акаунтите ви в профилите в социални мрежи за подозрителни активности. Проверете къде и какво сте коментирали и поствали, за да не се окажете нежелан гост.

    4. Като се върнете

    Прибирането не означава край на проблемите със сигурността. Направете няколко проверки, след което започнете да публикувате спомените от почивката си.

    • Ъпгрейднете още веднъж решението за защита и проверете всички устройства за потенциални нежелани „гости“, които може да сте събрали по пътя
    • Ако сте закупили нещо ново – от България или чужбина – проверете и него. В някои държави електрониката се продава с предварително инсталиран софтуер за наблюдение на дейността.
    • Проверете банковата си сметка за нежелани трансакции, които може да са минали покрай бдителността ви.

    5. Не забравяйте да се забавлявате

    Защото това е най-важното по време на лятната ви почивка. Весело изкарване!

  • На този ден преди 18 години е открит Pikachu – първият вирус, насочен към деца

    Много от нас могат да си спомнят как в зората на новото хилядолетие „Покемон“ вървеше към върха на популярността си. Преди 18 години група хакери се възползват от това, за да създадат първия вирус, насочен към деца – Pikachu. Вирусът таргетира системи от Windows 95 до Windows 2000.

    Куриозната заплаха се разпространява като прикачен файл към мейл, именуван „Pikachu Pokemon”. В него въпросното същество поздравява получателя и заявява, че има да му каже няколко „приятелски думи“.

    Към мейла е прикачен файл, с име pikachupokemon.exe. При неговото изпълнение потребителят вижда анимация на подскачащ по екрана покемон, под надслов „Between millions of people I found you. Don’t forget to remember this day every time MY FRIEND!”.

    Не звучи особено заплашително, нали?

    Но зад цялото представление се случва това, което целят атакуващите – вирусът добавя две нови команди към autoexec.bat, които се изпълняват при рестартиране на машината:

    "del C:\WINDOWS"
    
    "del C:\WINDOWS\system32"

    Което, както можете да предположите, изтрива основните директории на системата и прави компютъра на всяко излъгало се ентусиазирано дете напълно безполезен.

    Pikachu is confused!

    Въпреки бурното си разпространение, вирусът успява да нанесе минимални щети поради един основен пропуск – хакерите забравят да изключат изискването за потвърждение. След всяко успешно заразяване и рестартиране, компютърът просто пита човека пред него дали желае да изтрие операционната си система. Можем да предположим (и да се надяваме), че отговорът е бил предимно отрицателен.

    Шегата настрана, това се определя като основен фактор за слабото представяне на вируса. В сравнение с това, друг достатъчно широко разпространен вирус по това време е “ILOVEYOU”, който успява да нанесе щети за близо девет милиарда долара. Без значение колко е успешен, обаче, Pikachu поставя началото на все по-опасните вируси, насочени към особено наивна и уязвима част от обществото – децата.

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Back to top button