נחשפה גרסה עדכנית של תוכנת הכופר RAA התוקפת בעיקר יעדים עסקיים
מאת:
מערכת Telecom News, 20.9.16, 17:32
הגרסה המעודכנת יכולה לבצע הצפנה ללא חיבור לאינטרנט והפעם ללא הצורך לבקש מפתח משרת הפיקוד. הקורבן גם מקבל את הסוס הטרויאני Pony.
תוכנת הכופר
RAA הופיעה בנוף האיומים ביוני 2016 והייתה תוכנת הכופר הראשונה, שנחשפה, שנכתבה כולה ב-
JScript. באוגוסט 2016, מומחי מעבדת קספרסקי גילו גרסה חדשה, שבדומה לקודמת, מופצת דרך הדואר האלקטרוני, אך
כעת הקוד הזדוני מוסתר בקובץ ZIP מצורף המוגן בסיסמא. הפושעים הטמיעו אמצעי זה כדי להונות פתרונות אנטי וירוס, מכיוון שקשה יותר לבחון את תוכן הקובץ המוגן.
המומחים הסיקו מניתוח הדואר האלקטרוני, שמפיצי הקוד ממוקדים בעסקים ולא במשתמש המצוי. זאת, מכיוון שההודעות הזדוניות מכילות מידע אודות חובות של ספקים. כדי שההודעות תיראנה אמינות יותר, השולחים ציינו, שהקובץ המצורף מוגן בסיסמא מסיבות אבטחה (הסיסמא לקובץ צורפה בתחתית ההודעה) ומוגן ע"י הצפנה א-סימטרית. הצהרה זו נשמעת מגוחכת באוזניי משתמשים מנוסים, אבל מצליחה להטעות קורבנות תמימים.
המשך תהליך ההדבקה נראה דומה לזה של גרסאות
RAA קודמות. הקורבן מפעיל קובץ
.js, שמתחיל את התהליך הזדוני. כדי להסיט את תשומת לב הקורבן, הסוס הטרויאני מציג מסמך טקסט מזויף המכיל מערך רנדומלי של אותיות. בעוד הקורבן מנסה להבין מה קורה, ברקע ה-
RAA מצפין קבצים על המכשיר. בסופו של דבר, תוכנת הכופר יוצרת הודעת דרישה לדמי כופר על שולחן העבודה וכל הקבצים המוצפנים זוכים לסיומת
.locked חדשה.
בהשוואה לגרסה הקודמת, ההבדל המרכזי הוא, שכעת ה-
RAA לא צריך לתקשר עם שרת הפיקוד והשליטה כדי להצפין קבצים על מחשב הקורבן, כפי שנזקק בעבר.
במקום לבקש מפתח מאסטר משרת הפיקוד והשליטה, הסוס הטרויאני מייצר, מצפין ומאחסן אותו על המכשיר הנגוע. פושעי סייבר מחזיקים את המפתח הפרטי כדי לפצח את ההצפנה הייחודית של מפתח המאסטר. ברגע שהכופר משולם, הפושעים מבקשים מהמשתמש לשלוח להם את מפתח המאסטר המוצפן, שיוחזר אל הקורבן לצורך פתיחת ההצפנה יחד עם תוכנת פיענוח. ככל הנראה, דרך פעולה זו נבחרה כדי לאפשר לנוזקה להדביק מכשירים, שאינם מחוברים לרשת וגם כאלה שכן.
יתרה מכך, יחד עם תוכנת הכופר
RAA, הקורבן גם מקבל את הסוס הטרויאני
Pony, שמסוגל לגנוב סיסמאות מכל שרתי הדואר, כולל שרתים ארגוניים, ולשלוח אותם לתוקף מרוחק. באמצעות סיסמאות אלו, הפושעים יכולים להפיץ את הנוזקה שלהם בשם המשתמשים שנפגעו, וכך קל להם יותר לשכנע את הקורבן הב, שההודע שהתקבל היא ממקור אמין. מהדואר האלקטרוני של הקורבן, הנוזקה יכולה להיות מופצת לרשימה המלאה של אנשי קשר עסקיים, ומשם, הפושעים יכולים לבחור אנשי קשר מעניינים ולבצע התקפות ממוקדות.
כיום, תוכנת הכופר
RAA מופצת בעיקר בקרב משתמשים דוברי רוסית, על בסיס הודעת הכופר המופיעה בשפה זו. עם זאת, ייתכן שתוך זמן קצר המפיצים שלה יחליטו לעבור להפצה עולמית.
מספר עצות חיוניות, שתסייענה למזער את הסיכון להדבקה בעסק:
- השתמשו בטכנולוגיות אבטחת נקודות קצה חזקות ובאנטי וירוס. ודאו, כשכל מאפייני ההגנה המסייעים לאיתור תקריות מופעלים.
- הכשירו את עובדי החברה להיות בעלי מודעות והבנה בסייבר.
- עדכנו בקביעות את התוכנות במכשירי החברה.
- ערכו ביקורת אבטחה קבועה.
- שימו לב לסיומות קבצים לפני פתיחתם. המסוכנות שבהן כוללות את: .exe, .hta, .wsf, .js ועוד.
- השתמשו בהיגיון והיו ביקורתיים לגבי כל הודעות הדואר האלקטרוני המגיעות ממקור, שאינו מוכר.
עפ"י
סקר סיכוני אבטחת מידע בארגונים לשנת 2016, 20% מהעסקים חוו התקפה של תוכנת כופר במהלך 12 החודשים האחרונים.
פדור סיניטסין, חוקר נוזקות בכיר במעבדת קספרסקי: "אנו מאמינים, שהסוס הטרויאני
RAA נוצר כדי לבצע התקפות ממוקדות על עסקים. השילוב בין תוכנת כופר לבין גונב סיסמאות הוא שילוב מסוכן, שמגביר את הסיכויים של פושעי הסייבר להשגת כסף. ראשית, מהכופר, שהחברה תשלם כדי לשחרר את הקבצים, ושנית, מהקורבנות הפוטנציאליים החדשים, שניתן להתמקד בהם ע"י שימוש בהרשאות, שנאספו ע"י הסוס הטרויאני
Pony. בנוסף לכך, עם האפשרות להצפנה לא מקוונת, הגרסה החדשה של ה-
RAA הופכת למסוכנת יותר".
המסמך המזויף המושג לקורבן:
