40camp logo

"Szatan" szyfruje pliki - uwaga na ransomware

Ransomware o nazwie "Satan" pojawił się po raz pierwszy na początku 2017 roku. Od tego czasu jego autorzy stale doskonalą to narzędzie, aby skuteczniej atakować ofiary i maksymalizować zyski z przestępczego procederu. W ostatnim czasie analitycy z laboratorium FortiGuard firmy Fortinet odkryli kampanię z jego wykorzystaniem, w której jako dodatkowego narzędzia użyto oprogramowania do cryptojackingu.

Jak działa "Satan"?

Ransomware to rodzaj złośliwego oprogramowania, które szyfruje pliki na urządzeniu ofiary, a następnie żąda okupu za udostępnienie klucza umożliwiającego ich odblokowanie. "Satan" działa zarówno na urządzeniach z systemem Windows, jak i Linuksem. Ponadto wykorzystuje liczne luki, aby rozprzestrzeniać się w sieciach publicznych i zewnętrznych. Specjaliści z Fortinet wykryli nowy wariant, który wykorzystywał jeszcze więcej podatności.

- Najważniejszą aktualizacją, którą zaobserwowano w FortiGuard, jest dodanie kilku eksploitów odpowiedzialnych za zdalne wykonywanie kodu aplikacji internetowych, które są również zaimplementowane w wersji dla Linuksa - wyjaśnia Robert Dąbrowski, szef zespołu inżynierów Fortinet w Polsce.

Aby się rozprzestrzeniać, "Satan" dokonuje przekierowania adresów IP, a następnie próbuje przeskanować i wykorzystać całą listę swoich eksploitów na każdym napotkanym adresie. Ponadto może on skanować komputer pod kątem wykorzystania niektórych aplikacji, takich jak Drupal, XML-RPC, narzędzia firmy Adobe itp. Najprawdopodobniej jego celem jest zebranie statystyk ich wykorzystania, które mogą być wykorzystane do kolejnych ataków. Autorzy ransomware mogą go łatwo aktualizować w celu zaimplementowania eksploita przeciwko jednej z tych aplikacji, jeśli zauważą, że ma ona wystarczająco wielu użytkowników. W dodatku "Satan" jest już dostępny w modelu RaaS (Ransomware-as-a-Service), co umożliwia korzystanie z niego przez większą liczbę cyberprzestępców. Przekłada się to na większą częstotliwość i skalę ataków.

Z kolei użyty jako dodatkowa funkcja cryptojacking pozwala na wykorzystanie mocy obliczeniowej urządzenia - wbrew jego użytkownikowi - w celu wydobywania kryptowalut. Proceder ten oznacza dla ofiary szybsze zużywanie się podzespołów, zwłaszcza procesora, oraz zwiększony pobór energii, w konsekwencji prowadzący do naliczania wyższych rachunków za prąd.

Ransomware nie traci na popularności

Ataki z wykorzystaniem złośliwego oprogramowania służącego do wymuszania okupów należą do najbardziej spektakularnych, jakie miały miejsce w ostatnich latach. Przykładowo, cyberprzestępcy używający ransomware WannaCry zaatakowali za jego pomocą w 2017 roku cele w ponad stu państwach. Wśród ofiar znalazły się znane firmy i instytucje.

Według przeprowadzonego przez Fortinet badania, ransomware to najpoważniejszy problem, z jakim borykają się działające w Polsce firmy. Aktywności tego rodzaju złośliwego oprogramowania doświadczyła ponad połowa z nich, a 47% wskazuje na nie jako na największe możliwe zagrożenie bezpieczeństwa IT. Według danych Fortinet najczęściej występującym ransomware w Polsce w ostatnim czasie był GandCrab.

Ransomware jest także niebezpieczny dla użytkowników prywatnych. - Atak zazwyczaj poprzedzony jest rozesłaniem phishingowej wiadomości e-mail, w której zawarty jest link prowadzący do pliku ze złośliwym oprogramowaniem lub zainfekowanej strony - wyjaśnia Robert Dąbrowski. - Dlatego jednym z najważniejszych elementów cyberhigieny jest zasada, aby nie otwierać podejrzanych wiadomości, ani tym bardziej nie klikać na zawarte w nich hiperłącza.

Zapisz się do naszego newslettera

logo Veracomp Exclusive Networks
info@40camp.pl
Copyright © 2016 – 2024 Exclusive Networks Poland Polityka Prywatności
Realizacja: Bitubi
cross