Ransomware: TorrentLocker
nové útoky cez Dropbox
Objavili sa nové varianty ransomvéru TorrentLocker, ktorý bol už zdanlivo na ústupe. Doteraz sa spájal predovšetkým s elektronickou poštou a dokumentmi. Nové varianty však už neinfikujú dokumenty priamo, ale napríklad pošlú iba odkaz na obľúbené cloudové úložisko Dropbox.
Najnovšie varianty ransomware TorrentLocker detegovali laboratóriá ako RANSOM_CRYPTLOCK.DLFLVV, RANSOM_CRYPTLOCK.DLFLVW, RANSOM_CRYPTLOCK.DLFLVS a RANSOM_CRYPTLOCK.DLFLVU. Trend Micro s Dropboxom spolupracuje na riešení tohoto ohrozenia a aktuálne by všetky nakazené súbory mali byť už zmazané a účty zablokované.
Objavili sa nové varianty ransomvéru TorrentLocker, ktorý bol už zdanlivo na ústupe. Doteraz sa spájal predovšetkým s elektronickou poštou a dokumentmi. Nové varianty však už neinfikujú dokumenty priamo, ale napríklad pošlú iba odkaz na obľúbené cloudové úložisko Dropbox.
Samotná správa pôsobí dôveryhodne
a informuje napr. o faktúre súvisiacej s organizáciou, v ktorej obeť
pracuje. Tento spôsob šírenia je však veľmi nebezpečný, pretože bez znalosti
tohoto mechanizmu neumožňuje odchytenie problémového emailu na bezpečnostných bránach
– jednoducho preto, že e-mail žiadny zákerný súbor neobsahuje a odkaz smeruje
na legitímny web. Po kliknutí na odkaz dôjde k stiahnutiu JavaScript súboru,
ktorý sa tvári ako faktúra. A pri pokuse o jej otvorenie dôjde k stiahnutiu
ďalšieho „zašifrovaného“ kódu do pamäti počítača a k aktivovaniu
TorrentLockeru. Zákernosť nových variantov súvisí aj s tým, že
s cieľom predísť odhaleniu používajú inštalačné techniky NSIS (Nullsoft
Scriptable Install System).
Od 26. februára do 6. marca
2017 odhalila cloudová informačná služba Smart Protection Network spolu 54.688 spamov, ktoré obsahovali
odkazy na 815 rozličných Drobpox účtov. Prevažná časť tohoto útoku bola smerovaná
na európske štáty, najmä na Nemecko (vrchol na začiatku marca) a Nórsko
(kulminácia koncom februára). Počítačoví zločinci boli v tomto prípade aktívni
v pracovných dňoch, a to najčastejšie v dopoludňajších hodinách. Teda
v čase, kedy veľa zamestnancov prvý raz kontroluje doručenú poštu a očakáva
správy súvisiace s ich prácou. A vzhľadom na to, že práve Dropbox mnohé organizácie
bežne využívajú, je pravdepodobnosť otvorenia odkazu zamestnancami vysoká.
Najnovšie varianty ransomware TorrentLocker detegovali laboratóriá ako RANSOM_CRYPTLOCK.DLFLVV, RANSOM_CRYPTLOCK.DLFLVW, RANSOM_CRYPTLOCK.DLFLVS a RANSOM_CRYPTLOCK.DLFLVU. Trend Micro s Dropboxom spolupracuje na riešení tohoto ohrozenia a aktuálne by všetky nakazené súbory mali byť už zmazané a účty zablokované.