קספרסקי: גרסה עדכנית של תוכנת הכופר RAA תוקפת יעדים עסקיים
מומחי מעבדת קספרסקי חשפו גרסה חדשה של תוכנת הכופר RAA, נוזקה שנכתבה במלואה ב-JScript.
תוכנת הכופר RAA הופיעה בנוף האיומים ביוני 2016 והייתה תוכנת הכופר הראשונה שנחשפה אשר נכתבה כולה ב-JScript. באוגוסט 2016, מומחי מעבדת קספרסקי גילו גרסה חדשה, אשר בדומה לקודמת, מופצת דרך הדואר האלקטרוני, אך כעת הקוד הזדוני מוסתר בקובץ ZIP מצורף המוגן בסיסמא. הפושעים הטמיעו אמצעי זה במטרה להונות פתרונות אנטי וירוס, מכיוון שקשה יותר לבחון את תוכן הקובץ המוגן.
מניתוח הדואר האלקטרוני, מומחי מעבדת קספרסקי הסיקו כי מפיצי הקוד ממוקדים בעסקים ולא במשתמש המצוי, זאת מכיוון שההודעות הזדוניות מכילות מידע אודות חובות של ספקים. על מנת שההודעות יראו אמינות יותר, השולחים ציינו כי הקובץ המצורף מוגן בסיסמא מסיבות אבטחה (הסיסמא לקובץ צורפה בתחתית ההודעה) ומוגן על ידי הצפנה א-סימטרית. הצהרה זו נשמעת מגוחכת באוזניי משתמשים מנוסים, אבל מצליחה להטעות קורבנות תמימים.
המשך תהליך ההדבקה נראה דומה לזה של גרסאות RAA קודמות. הקורבן מפעיל קובץ .js, אשר מתחיל את התהליך הזדוני. כדי להסיט את תשומת לב הקורבן, הסוס הטרויאני מציג מסמך טקסט מזויף אשר מכיל מערך רנדומלי של אותיות. בעוד הקורבן מנסה להבין מה קורה, ברקע ה-RAA מצפין קבצים על המכשיר. בסופו של דבר, תוכנת הכופר יוצרת הודעת דרישה לדמי כופר על שולחן העבודה וכל הקבצים המוצפנים זוכים לסיומת .locked חדשה.
בהשוואה לגרסה הקודמת, ההבדל המרכזי הוא שכעת ה-RAA לא צריך לתקשר עם שרת הפיקוד והשליטה כדי להצפין קבצים על מחשב הקורבן, כפי שנזקק בעבר. במקום לבקש מפתח מאסטר משרת הפיקוד והשליטה, הסוס הטרויאני מייצר, מצפין ומאחסן אותו על המכשיר הנגוע. פושעי סייבר מחזיקים את המפתח הפרטי כדי לפצח את ההצפנה הייחודית של מפתח המאסטר. ברגע שהכופר משולם, הפושעים מבקשים מהמשתמש לשלוח להם את מפתח המאסטר המוצפן, אשר יוחזר אל הקורבן לצורך פתיחת ההצפנה יחד עם תוכנת פיענוח. ככל הנראה, דרך פעולה זו נבחרה על מנת לאפשר לנוזקה להדביק מכשירים שאינם מחוברים לרשת וגם כאלו שכן.
יתרה מכך, יחד עם תוכנת הכופר RAA, הקורבן גם מקבל את הסוס הטרויאני Pony, אשר מסוגל לגנוב סיסמאות מכל שרתי הדואר, כולל שרתים ארגוניים, ולשלוח אותם לתוקף מרוחק. באמצעות סיסמאות אלה, הפושעים יכולים להפיץ את הנוזקה שלהם בשם המשתמשים שנפגעו, וכך קל להם יותר לשכנע את הקורבן הבא כי ההודעה שהתקבלה היא ממקור אמין. מהדואר האלקטרוני של הקורבן, הנוזקה יכולה להיות מופצת לרשימה המלאה של אנשי קשר עסקיים, ומשם, הפושעים יכולים לבחור אנשי קשר מעניינים ולבצע התקפות ממוקדות.
"אנו מאמינים כי הסוס הטרויאני RAA נוצר כדי לבצע התקפות ממוקדות על עסקים. השילוב בין תוכנת כופר לבין גונב סיסמאות הינו שילוב מסוכן, המגביר את הסיכויים של פושעי הסייבר להשגת כסף – ראשית, מהכופר שהחברה תשלם כדי לשחרר את הקבצים, ושנית, מהקורבנות הפוטנציאליים החדשים שניתן להתמקד בהם על ידי שימוש בהרשאות שנאספו על ידי הסוס הטרויאני 'Pony'". בנוסף לכך, עם האפשרות להצפנה לא מקוונת, הגרסה החדשה של ה-RAA הופכת למסוכנת יותר", אמר פדור סיניטסין, חוקר נוזקות בכיר במעבדת קספרסקי.
מספר עצות חיוניות שיסייעו למזער את הסיכון להדבקה בעסק שלכם:
• השתמשו בטכנולוגיות אבטחת נקודות קצה חזקות ובאנטי וירוס, וודאו כי כל מאפייני ההגנה המסייעים לאיתור תקריות מופעלים.
• הכשירו את עובדי החברה להיות בעלי מודעות והבנה בסייבר.
• עדכנו בקביעות את התוכנות במכשירי החברה.
• ערכו ביקורת אבטחה קבועה.
• שימו לב לסיומות קבצים לפני פתיחתם. המסוכנות שבהן כוללות את: .exe, .hta, .wsf, .js ועוד.
• השתמשו בהיגיון והיו ביקורתיים לגבי כל הודעות הדואר האלקטרוני המגיעות ממקור שאינו מוכר.
כיום, תוכנת הכופר RAA מופצת בקרב משתמשים דוברי רוסית, על בסיס הודעת הכופר המופיעה בשפה זו. עם זאת, ייתכן שתוך זמן לא רב המפיצים שלה יחליטו לעבור להפצה עולמית.
על פי סקר סיכוני אבטחת מידע בארגונים לשנת 2016, 20% מהעסקים חוו התקפה של תוכנת כופר במהלך 12 החודשים האחרונים. כדי לסייע לחברות להפחית את הסיכון להדבקה מתוכנות כופר, מעבדת קספרסקי השיקה כליAnti-Rnasomware חינמי לעסקים.
מוצרי מעבדת קספרסקי מזהים את כל הגרסאות המוכרות של תוכנת הכופר RAA ושל גונב הסיסמאות Pony תחת השמות הבאים: Trojan-Ransom.JS.RaaCrypt ו-Trojan-PSW.Win32.Tepfer.
קראו עוד על תוכנת הכופר RAA ב- https://securelist.com/blog/research/76039/a-malicious-pairing-of-cryptor-and-stealer/