FuckUnicorn: תוכנות כופר מחופשות לאפליקציית Immuni

(של דייוויד לו פרטה)
03/06/20

מצב החירום העולמי לבריאות יצר הזדמנויות רבות להפיץ עברייני סייבר. תשתית הבריאות, בהתחשב גם בהתקפות שנערכו נגד ארגון הבריאות העולמי (WHO), הוכחה כיעד רגיש. איטליה לא הייתה חסינה מפני התקפות אלה.

ב- 25 במאי, CERT-AgID חשפה את קיומם של תוכנות כופר שהתחפשו לאפליקציה אנטי-קוביד. חוקר JAMESWT גילה קמפיין malspam שבאמצעותו האקרים "מזמינים" להוריד את קובץ ה- IMMUNI.exe הזדוני שמכיל את תוכנת ה- ransomware. פאק חד קרן.

בהודעת הדוא"ל מוזמנים האזרחים להוריד את ההפעלה באתר המדמה את האתר של איגוד הזמנות הרוקחים האיטלקיות. התחום של האתר שנוצר אד הוק הוא למעשה "fofl", בעוד שזו של הפדרציה היא "פופי", מה שהופך את ההונאה לאמינה יותר.

לאחר פתיחתו, תוכנת הכופר פותחת לוח מחוונים מזויף עם תוצאות הזיהום של Covid-19, אמולציה מזו שנוצרה על ידי המרכז למדע מערכות והנדסה (CSSE) מאוניברסיטת ג'ונס הופקינס. בינתיים הקבצים הזמינים במחשב מוצפנים ושינוי שמו ל ".fuckunicornhtrhrtjrjy". לאחר סיום זה, מופיע פתק כופר בסך 300 אירו בתשלום ביטקוין בתמורה לשחרור הנתונים.

ה- CERT-AgID דיווח בפירוט כיצד פועלת תוכנת הכופר. הוא משתמש באלגוריתם AES CBC ובסיסמה שנוצרה באופן אקראי המשותפת עם הפקודה והשליטה (C&C) וניתן להגיע אליה בכתובת http: // 116 [.] 203 [.] 210 [.] 127 / write.php. החיפוש אחר קבצים נעשה בתיקיות:

  • שולחן העבודה

  • קישורים

  • אנשי קשר

  • דוחות

  • הורדות

  • תמונות

  • כלי נגינה

  • onedrive

  • שמורים

  • מועדפים

  • חיפושים

  • וידאו

וזה נוגע לקבצי ההרחבה: .txt, .jar, .exe, .dat, .contact, .settings, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg,. png, .csv, .py, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .htm, .xml, .psd, .pdf, .dll, .c, .cs, .mp3, .mp4, .f3d, .dwg, .cpp, .zip, .rar, .mov, .rtf, .bmp, .mkv, .avi, .apk, .lnk, .iso, .7-zip, .ace, .arj, .bz2, .cab, .gzip, .lzh, .tar, .uue, .xz, .z, .001, .mpeg, .mp3, .mpg, .core, .crproj, .pdb , .ico, .pas, .db, .orrent "

CERT-AgID מסר כי נכון לעכשיו לא נרשמו עסקאות בחשבון הקריפטו המצוין בבקשת הפדיון.
Ransomware, יחד עם מיילים מתחזים, משמשים יותר ויותר על ידי האקרים עבריינים, מכיוון שהם קלים לשימוש בכלים.

כיצד להתמודד עם התקפות האלה?

בשנת 2016, מרכז הפשיעה הסיבררית האירופית של אירופול השיק יוזמה בשיתוף היחידה הלאומית לפשעי היי-טק של המשטרה ההולנדית ומקאפי לסייע לקורבנות לשחזר את הנתונים שלהם מבלי שהם צריכים לשלם לעבריינים.

היוזמה, אין יותר כופר (NMR), מטרתה גם למנוע התקפות על ידי חינוך משתמשים בנוגע לאמצעי נגד אפשריים. בפרט באתר היוזמה (https://www.nomoreransom.org/it/prevention-advice.html) מוצגות המדידות שלהלן:

  • גבה את הנתונים שלך, "כך שזיהום של תוכנות רנסומיות לא יוכל להרוס את הנתונים שלך לצמיתות" הדבר הטוב ביותר הוא ליצור גיבוי שישמר בענן ואחד שישמור פיזית.

  • השתמש בתוכנת אנטי-וירוס חזקה.

  • שמור את התוכנה מעודכנת במחשב, דרך התקנת גרסאות חדשות של מערכת ההפעלה

  • אל תפתח קבצים מצורפים לדוא"ל מזרים

  • אפשר את האפשרות "הצג סיומות קבצים" בהגדרות Windows, מה שמקל על איתור קבצים זדוניים.

אפליקציית IMMUNI הייתה ועדיין נושא לוויכוח רב לגבי פגיעויות פוטנציאליות להגנה על נתונים. עם זאת, עוד לפני השקת אפליקציית המעקב, האקרים כבר זיהו אפשרויות של רווח לא חוקי הן מבחינה כלכלית והן מבחינה נתונים.

סיטוגרפיה:

https://cert-agid.gov.it/news/campagna-ransomware-fuckunicorn-sfrutta-emergenza-covid-19/

https://www.pcprofessionale.it/news/security/software-security/fuckunicorn-ransomware-italiano-app-anti-covid-19/

https://www.europol.europa.eu/activities-services/public-awareness-and-prevention-guides/no-more-ransom-do-you-need-help-unlocking-your-digital-life

https://www.nomoreransom.org/it/index.html

תמונות: web / CERT-AgID