A frissített RAA zsarolóvírus cégeket támad és adatlopó vírust telepít
Gyorsan fertőz, és még kapcsolat sem kell neki a titkosítást végző C&C (command and control) szerverrel.
Frissítették a RAA zsarolóvírust, amely adatlopó trójai programot is tartalmaz. Annak az új technikának köszönhetően, hogy internetcsatlakozás nélkül is telepíteni tudja a kártevőt és titkosítani a gépet, hatékonyabban gyűjti üzleti áldozatait.
Az RAA zsarolóvírus júniusban jelent meg, de ez a fajta kártevő gyorsan fertőz, idén kifejezetten beindult, és a Kaspersky Lab cyberbiztonsági kutatói azóta felfedezték egy új változatát is.
Az előző verzióhoz hasonlóan emailen terjed, de ezúttal a fertőző kód egy jelszóval védett zip csatolmányban rejtőzik, így a vírusirtók nehezen ismerik fel (a védett archív fileokat a biztonsági programok nehezebben tudják jól átvizsgálni).
Az RAA változtatott a kiszemelt prédáin is: vállalati felhasználókat szemel ki, feltehetően a magasabb követelhető összeg miatt. Az email a csatolmányról azt írja, hogy lejárt számlatartozásról szóló információt tartalmaz, és „biztonsági okokból” védik jelszóval – ez a plusz biztonsági utalás elegendő lehet ahhoz, hogy a felhasználó bedőljön a trükknek és elkezdje az RAA telepítését.
A fertőzés a korábbiakhoz hasonlóan megy végbe: a zsarolóvírus akkor telepítődik, amikor az áldozat lefuttatja a kártevő .js fájlt. A zsaroló üzenet megjelenése és a .locked kiterjesztéssel való fájltitkosítás előtt figyelemelterelés céljából egy összevissza karaktereket tartalmazó szövegdokumentum jön fel.
Az új RAA verzió attól lett még hatékonyabb, hogy nem kell kommunikálnia a C&C szerverrel a fájltitkosítás elvégzéséhez. Nem szükséges már hozzá központi kód, mert a trójai program saját kódokat generál a fertőzőtt gépen, így az online mellett offline gépek is áldozatul esnek.
Ha az nem lenne elég rossz, hogy egy céget kizárnak saját fájljaiból, a vírus a „Pony” adatlopó trójai programot is telepíti, amely belépőkódokat is képes ellopni – tulajdonképpen a BetaBot fordítottját csinálja, amely adatokat lop és aztán zsarolóvírussal is fertőzi áldozatát.
A vállalati jelszavak megszerzése a hackerek számára javítja a zsarolóvírus rendszerének hatékonyságát: hiteles üzleti felhasználókkal terjesztheti a trójai programot a kontaktjaik körében, így célzott támadásokat képes véghez vinni. Továbbá el is tudják adni ezeket a jelszókat más hackereknek az internet sötét oldalán.
A többi zsarolóvírushoz hasonlóan a hackerek pénzt követelnek a fájlok feloldásáért cserébe. Bár a kártevő jelenleg többnyire orosz nyelvű felhasználókat érint, a siker nyomán elég hamar globális méretűre hízhat.
Egyre inkább üzleti hálózatokat céloz, mivel jóval jövedelmezőbbek lehetnek – ezt mutatta a Hollywood kórház elleni támadás, amely során a cyberbűnözők 17.000 dollár (azaz kb. 4.7 millió Ft) értékű bitcoint tettek zsebre.
A cybertámadások növekvő fenyegetettsége ellenére a Juniper Research kutatócég legújabb adatai szerint a vállalatok még mindig nem fogják fel a cyberbiztonság jelentőségét; háromnegyedük azt hiszi, hogy teljesen védett, annak ellenére, hogy minden második elszenvedett már valamilyen támadást.
A kutatás arra is rámutat, hogy vállalatok alig egyharmada figyeli adathalászati kísérletek kiszűrése céljából aktívan az emaileket, pedig ez a kártékony szoftverek és zsarolóvírusok leggyakoribb támadási technikája és némi alap cyberbiztonsági technikával viszonylag könnyen elkerülhetők lennének.
Forrás: ZDNet.
További érdekességekért keresse fel rendszergazda blogunkat!
