Experții Kaspersky Lab au descoperit o nouă versiune a programului de tip ransomware RAA, scrisă în întregime în Jscript. Un nou troian le trimite victimelor o arhivă zip care conține un fișier malware în format .js. Versiunea actualizată poate să cripteze și offline, fără să fie nevoie să solicite o cheie de la serverul de comandă. Experții companiei cred că, folosind această versiune de malware, infractorii vor viza mai mult companiile decât utilizatorii individuali.
Programul ransomware RAA și-a făcut apariția în peisajul amenințărilor cibernetice în iunie 2016 și a fost primul ransomware scris doar în Jscript. În luna august, experții Kaspersky Lab au descoperit o nouă versiune. La fel ca precedentele, aceasta este distribuită pe e-mail, dar acum codul malware este ascuns într-o arhivă zip protejată cu parolă. Măsura a fost implementată de infractori în special pentru a păcăli soluțiile AV, având în vedere dificultatea mai mare de a examina conținutul unei arhive protejate.
După analiza e-mail-urilor, experții Kaspersky Lab au ajuns la concluzia că infractorii vizează mai mult companiile, cu e-mail-uri infectate care conțin informații despre un ordin de plată întârziat, din partea unui furnizor. Pentru ca e-mail-urile să pară autentice, explicația lor era aceea că, din motive de securitate, documentul din anexă a fost protejat (parola pentru arhivă era oferită la finalul e-mail-ului), inclusiv prin criptare asimetrică, suplimentar. Această declarație pare ridicolă pentru utilizatorii de Internet avizați, dar este plauzibilă pentru victimele credule.
Procesul ulterior de infectare este similar cu cel folosit la versiunea anterioară de RAA ransomware. Victima deschide fișierul .js, care își începe acțiunea. Pentru a distrage atenția victimei, troianul afișează un document fals cu un set aleatoriu de caractere. În timp ce victima încearcă să înțeleagă ce se întâmplă, programul RAA criptează fișierele din dispozitiv. În fine, programul ransomware creează pe desktop o notă în care solicită răscumpărarea și toate fișierele criptate primesc o nouă extensie .locked.
În comparație cu versiunea anterioară, diferența esențială este că, acum, programul RAA nu trebuie să comunice cu serverul de comandă și control pentru a cripta fișierele din PC-ul victimei, cum proceda anterior. În loc să solicite o cheie de la serverul C&C, troianul o generează, o criptează și o stochează pe dispozitivul infectat. Infractorii cibernetici dețin cheia capabilă să decripteze master key-ul unic. Odată ce răscumpărarea este plătită, infractorii îi solicită utilizatorului să le trimită master key-ul criptat, care îi va fi returnat victimei decriptat, împreună cu o parte din software-ul de decriptare. Metoda a fost aleasă, evident, pentru a permite programului malware să cripteze și dispozitive offline, nu doar pe cele care se pot conecta la Internet.
Împreună cu programul ransomware RAA, victima primește și troianul Pony. Acesta este capabil să fure parole de la toți clienții de e-mail, inclusiv de la utilizatorii comerciali, și să le trimită unui atacator aflat la distanță. Cu ajutorul parolelor, infractorii ar putea să răspândească programul malware, din partea utilizatorilor ale căror dispozitive au fost infectate, reușind să convingă destinatarii că mesajul este legitim. Din e-mail-ul de serviciu al victimei, programul malware poate fi răspândit către întreaga listă de contacte. De aici, infractorii pot selecta anumite persoane de interes, pentru atacuri cu țintă predefinită.
“Credem că troianul RAA a fost creat pentru atacuri cu țintă predefinită asupra companiilor. Asocierea dintre ransomware și programul care fură parole pune la dispoziția infractorilor cibernetici un mix periculos, mărindu-le șansele de a primi bani. În primul rând, din răscumpărarea pe care compania o va plăti pentru a-i fi decriptate datele și, în al doilea rând, de la noi potențiale victime, pe care pot să le atace cu ajutorul informațiilor furate de troianul Pony. În plus, faptul că permite criptarea offline, mărește pericolul reprezentat de noua versiune RAA”, spune Feodor Sinitsyn, Senior Malware Analyst la Kaspersky Lab.
Pentru a diminua riscul infectării, companiile ar trebui să ia în considerare următoarele recomandări:
• Să folosească tehnologii de securitate și soluții AV, asigurându-se că toate “funcțiile euristice” sunt activate.
• Să-și educe angajații pentru a folosi spațiul cibernetic în mod avizat.
• Să actualizeze constant programele de pe dispozitivele companiei.
• Să efectueze în mod regulat audituri de securitate.
• Să fie atenți la extensiile documentelor înainte de a le deschide. Printre terminațiile potențial periculoase se numără: .exe, .hta, .wsf, .js, etc.
• Să fie circumspecți în a deschide e-mail-uri de la destinatari necunoscuți.
Potrivit studiului 2016 Corporate IT security Risks, 20% dintre companii s-au confruntat cu un atac ransomware în ultimele 12 luni. Pentru a ajuta companiile să reducă riscul infectării cu un program ransomware, Kaspersky Lab a creat și un instrument gratuit anti-ransomware pentru companii.
În prezent, programul ransomware RAA se răspândește printre utilizatorii vorbitori de limbă rusă, având în vedere că mesajul de răscumpărare este în limba rusă, dar s-ar putea să nu mai dureze mult până când autorii vor vrea să ajungă la nivel global. Produsele Kaspersky Lab detectează toată modificările cunoscute ale programului ransomware RAA și ale celui denumit Pony, care fură parole.