Telecom News - מתקפת כופר חדשה מתפשטת בעולם וגם בישראל וקוראים לה Jaff

מתקפת כופר חדשה מתפשטת בעולם וגם בישראל וקוראים לה Jaff

דף הבית >> חדשות אבטחה ועולם הסייבר >> מתקפת כופר חדשה מתפשטת בעולם וגם בישראל וקוראים לה Jaff
מתקפת כופר חדשה מתפשטת בעולם וגם בישראל וקוראים לה Jaff
מאת: מערכת Telecom News, 12.5.17, 13:59כופר

מומחים מדווחים על מתקפת כופר חדשה, שאירעה אתמול - 11.5.17 מזן נוזקה חדש. כעת, כשערך הביטקוין גבוה, סכום הכופר הוא די גבוה. המתקפה נעשית בעיקר על אתרים בסיומת com. אך גם co.il.
 
מומחי אבטחת מידע מזהירים מסוג חדש של נוזקת כופר המכונה Jaff, שמכה במטרות  סביב העולם ודורשת מהקורבנות סכום של 1.79 ביטקוין (עפ"י ערך הביטקוין היום של 1.824 דולרים לביטקוין באתר Bitstamp, סכום הכופר עומד על כ-3,500 דולרים), כדי לשחרר את הקבצים שהוצפנו.


עפ"י Forcepoint Security Labs, קמפיין הדוא"ל הזדוני התפשט אתמול באמצעות הבוטנט המכונה Necurs, ושלח 5 מיליון אימיילים לשעה. ניתוח העלה, שהוא קשור לנוזקת הכופר Locky ו-2 הנוזקות מופצות דרך הבוטנט הנ"ל. כ"כ, אתרי התשלום דומים ל-2 הנוזקות. במשך המתקפה אתמול של 4 שעות אותרו 13 מיליוני אימיילים ונחסמו ע"י החברה.
 
נפח הקמפיין
 
 

המתקפה היא משמעותית בגודלה וגלובלית ונעשית בעיקר על אתרים בסיומת com. ויש גם על אתרים בסיומת co.il. (כפי שניתן לראות בתרשים להלן). היא כוונה לארגונים בישראל, אירלנד, בלגיה, הולנד, איטליה, גרמניה, צרפת, מכסיקו, אוסטרליה, סרילנקה, קוסטה ריקה ופרו. 

 
חלוקה לפי דומיינים
 
 

The campaign theme is a fake document with the following email subject format

PDF_{four or more digits}
Scan_{four or more digits}
File_{four or more digits}
Copy_{four or more digits}
Document_{four or more digits}
Receipt to print

תמונת מסך של נמען שקיבל אימייל עם קובץ בסימון Copy ולאחריו כמה ספרות 293636:
 
אימייל


כך נראה המסך של מתקפת Jaff  כאשר ההעלאה תפעיל את JAFF:
 
JAFF





ברגע שהמחשב נגוע, הרקע במסך מוחלף בהודעה הבאה:
Files are encrypted. To decrypt files you need to obtain the private key. It directs to a URL hosted on the dark web, accessable via Tor

להלן תמונת אחד הנוסחים:
 
מסך JAFF

 
מאחר שמתקפת הכופר היא המונית, אין ספק, שההאקרים יצליחו להתעשר ע"ח הקורבנות, לאחר שהשקיעו מאמצים לבצע מתקפה בקנה מידה רחב במיוחד.

פרטים נוספים ואינדיקטורים - כאן.

עדכון 15.6.17, 11:22: חוקרי קספרסקי מצאו חולשה בתוכנת הכופר .Jaff ארגונים רבים ברחבי העולם נפלו קורבן לתוכנה, שבתחילה לא היה בטוח שימצא לה פתרון.
 
החוקרים, שגילו את החולשה, כתבו על בסיסה תוכנת פיענוח, אותה ניתן להוריד בחינם מאתר NoMoreRansom.
 
Jaff הופצה באמצעות רשת בוטנט, שהייתה אחראית גם להפצה של תוכנות כופר אחרות בעבר כגון לוקי. תוכנת הפיענוח עובדת על כל גרסאותיו של Jaff ולכן כלל הקורבנות מסוגלים לשחרר את הקבצים תוך מספר שניות.
 
Jaff, שמגיע עטוף בקובץ ,PDF מציג לקורבן הודעה לפתוח מסמך אופיס וורד, וכאשר האחרון נפתח, תוכנת הכופר תצפין את מחשב הקורבן ברקע. התוכנה תבקש בין 0.5-2 ביטקוין, ששווה ערך ל-1,500-5,000 דולרים. 
 

עדכון 18.6.17, 19:09: לאחרונה דווח על מקרים רבים של פוגעני כופר מסוגים שונים, שנשלחים בתוך הודעת דואר אלקטרו,ני שכתובת המקור שלה שייכת כביכול לציוד משרדי בארגון המותקף.
הפוגענים שייכים למשפחות: Jaff, DridexLocky. הקבצים הכלולים בהודעות מסתיימים בד"כ בסיומת ZIP, כאשר הפוגענים בתוך ה-ZIP משתנים בהתאם למשפחה והם בעיקר מסוג EXEWSF, או PDF עם קובץ  DOCMמוטמע.
 
הכתובות, מהן נשלחו ההודעות, מנסות להתחזות לציוד משרדי כגון סורק/מכונת צילום, שיכול לשלוח דוא"ל כחלק מפעולתו הרגילה. פורמט הכתובות השכיחות נראה כך:
copier@yourORGmaildomain
scanner@yourORGmaildomain
MFD@yourORGmaildomain
canon@yourORGmaildomain
xerox@yourORGmaildomain
 
לדוגמה הכתובת תיראה כך:  copier@example.co.il
 

 

כופר

 
NordVPN



 
 
Bookmark and Share