štvrtok 16. marca 2017

Ransomware: TorrentLocker nové útoky cez Dropbox
Objavili sa nové varianty ransomvéru TorrentLocker, ktorý bol už zdanlivo na ústupe. Doteraz sa spájal predovšetkým s elektronickou poštou a dokumentmi. Nové varianty však už neinfikujú dokumenty priamo, ale napríklad pošlú iba odkaz na obľúbené cloudové úložisko Dropbox.

Samotná správa pôsobí dôveryhodne a informuje napr. o faktúre súvisiacej s organizáciou, v ktorej obeť pracuje. Tento spôsob šírenia je však veľmi nebezpečný, pretože bez znalosti tohoto mechanizmu neumožňuje odchytenie problémového emailu na bezpečnostných bránach – jednoducho preto, že e-mail žiadny zákerný súbor neobsahuje a odkaz smeruje na legitímny web. Po kliknutí na odkaz dôjde k stiahnutiu JavaScript súboru, ktorý sa tvári ako faktúra. A pri pokuse o jej otvorenie dôjde k stiahnutiu ďalšieho „zašifrovaného“ kódu do pamäti počítača a k aktivovaniu TorrentLockeru. Zákernosť nových variantov súvisí aj s tým, že s cieľom predísť odhaleniu používajú inštalačné techniky NSIS (Nullsoft Scriptable Install System).  

Od 26. februára do 6. marca 2017 odhalila cloudová informačná služba Smart Protection Network spolu 54.688 spamov, ktoré obsahovali odkazy na 815 rozličných Drobpox účtov. Prevažná časť tohoto útoku bola smerovaná na európske štáty, najmä na Nemecko (vrchol na začiatku marca) a Nórsko (kulminácia koncom februára). Počítačoví zločinci boli v tomto prípade aktívni v pracovných dňoch, a to najčastejšie v dopoludňajších hodinách. Teda v čase, kedy veľa zamestnancov prvý raz kontroluje doručenú poštu a očakáva správy súvisiace s ich prácou. A vzhľadom na to, že práve Dropbox mnohé organizácie bežne využívajú, je pravdepodobnosť otvorenia odkazu zamestnancami vysoká.

Najnovšie varianty ransomware TorrentLocker detegovali laboratóriá ako RANSOM_CRYPTLOCK.DLFLVV, RANSOM_CRYPTLOCK.DLFLVW, RANSOM_CRYPTLOCK.DLFLVS a RANSOM_CRYPTLOCK.DLFLVU. Trend Micro s Dropboxom spolupracuje na riešení tohoto ohrozenia a aktuálne by všetky nakazené súbory mali byť už zmazané a účty zablokované.