Podľa zistení spoločnosti Trend Micro uzreli svetlo sveta nové varianty zákerného ransomvéru  TorrentLocker, ktorý bol v poslednej dobe zdanlivo na ústupe.

Doteraz si verejnosť hrozby typu ransomware spájala predovšetkým s elektronickou poštou a dokumentmi, ransomware sa však vyvíja a hľadá nové, neobvyklé metódy, ako sa dostať k svojim obetiam.

Na rozdiel od klasických mechanizmov útoku neposielajú nové varianty ransomvéru TorrentLocker infikované dokumenty priamo, ale napríklad pošlú iba odkaz na obľúbené cloudové úložisko Dropbox. Samotná správa pôsobí dôveryhodne a informuje o faktúre, súvisiacej s organizáciou, v ktorej obeť pracuje. Nechýbajú ani základné platobné údaje. Tento spôsob šírenia je však veľmi nebezpečný, pretože bez znalosti tohoto mechanizmu neumožňuje odchytenie problémového e-mailu na bezpečnostných bránach – jednoducho preto, že e-mail žiadny zákerný súbor neobsahuje a odkaz smeruje na legitímny web.

 

Príklad e-mailu s odkazom na Dropbox

Po kliknutí na odkaz dôjde k stiahnutiu JavaScript súboru, ktorý sa tvári ako faktúra. A pri pokuse o jej otvorenie dôjde k stiahnutiu ďalšieho „zašifrovaného“ kódu do pamäti počítača a k aktivovaniu TorrentLockeru. Zákernosť nových variantov súvisí aj s tým, že s cieľom predísť odhaleniu používajú inštalačné techniky NSIS (Nullsoft Scriptable Install System).

Nemalé aktivity

V období od 26. februára do 6. marca 2017 odhalila globálna cloudová informačná služba Trend Micro Smart Protection Network spolu 54 688 spamov, ktoré obsahovali odkazy na 815 rozličných Drobpox účtov. Prevažná časť tohoto útoku bola smerovaná na európske štáty, najmä na Nemecko (vrchol na začiatku marca) a Nórsko (kulminácia koncom februára). Pozornosť si v súvislosti s mechanizmom šírenia zaslúži aj fakt, že počítačoví zločinci boli v tomto prípade aktívni v pracovných dňoch, a to najčastejšie v dopoludňajších hodinách. Teda v čase, keď mnoho zamestnancov prvý raz kontroluje doručenú poštu a očakáva správy, súvisiace s ich prácou. A vzhľadom na to, že práve Dropbox mnohé organizácie bežne využívajú, je pravdepodobnosť otvorenia odkazu zamestnancami vysoká.

 

Ako sa brániť?

Vzhľadom na posun v spôsoboch útokov je dôležité, aby organizácie posilnili bezpečnostné opatrenia a venovali zvýšenú pozornosť oboznámeniu zamestnancov s novými druhmi hrozieb, využívajúcimi prvky sociálneho inžinierstva. A tiež aby zamestnancom ukázali, ako môžu pomôcť s ochranou. V prípade nových typov hrozieb je vhodné využívať bezpečnostné nástroje – napríklad používatelia riešení značky Trend Micro TippingPoint sú už pred novými variantami TorrentLockeru chránení.

Spoločnosť Trend Micro s Dropboxom spolupracuje na riešení tohoto ohrozenia a aktuálne by všetky nakazené súbory mali byť už zmazané a účty zablokované.

Najnovšie varianty ransomware TorrentLocker detegovali laboratóriá spoločnosti Trend Micro ako RANSOM_CRYPTLOCK.DLFLVV, RANSOM_CRYPTLOCK.DLFLVW, RANSOM_CRYPTLOCK.DLFLVS a RANSOM_CRYPTLOCK.DLFLVU.

Prečítajte si aj:

Peniaze alebo dáta: hrozivý vzostup ransomware