..
Novi ransomware šifruje fajlove, blokira pristup računaru i koristi ga za DDoS napad


Istraživači kompanije Invincea otkrili su novi ransomware koji ne samo što inficirane računare i podatke na njima drži kao taoce, nego kompromitovane računare koristi i za DDoS napade. To praktično znači da žrtva ne može da pristupi računaru, dok se on u isto vreme koristi napad na drugu žrtvu. Kako kažu iz kompanije Invincea, reč je o izmenjenoj ali poznatoj pretnji, ransomwareu Cerber.

Da bi inficirali računare napadači koriste spear fišing emailove koji stižu na email adrese žrtava sa Rich Text Document (.rtf) u prilogu. Dokument i email se često predstavljaju kao račun ili neke informacije koje bi mogle biti važne odabranoj žrtvi. Ako žrtva odluči da otvori email i dokument u njemu, to će pokrenuti Microsoft Word i ugrađene makroe.

Napadači se, dakle, oslanjaju na Macro funkciju u Officeu, koja onda pokreće maliciozni VBScript koji preuzima i pokreće malver.

Ovo je veoma popularna metoda infekcije jer je mnogo antivirusa “potpuno slepo” za ovakav napad. U trenutku kada su istraživači kompanije Invincea analizirali napad, njega je detektovalo 37 od 57 antivirusnih endžina na VirusTotalu.

Kada se ransomware pokrene, on šifruje podatke korisnika i zatim blokira pristup računaru zaključavajući ekran. Posle toga se pokreće drugi fajl 311.tmp koji počinje da šalje veliku količinu saobraćaja sa inficiranog računara.

To što je ovaj malver osposobljen i za DDoS napade sa aspekta njegovih autora uopšte nije loša ideja. Rentiranje DDoS botova na Dark Webu je veoma unosan biznis, iako su poslednjih godina cene značajno pale.

Mora se imati u vidu da neće sve žrtve platiti za dešifrovanje fajlova. Da infekcija računara ne bi u takvim slučajevima bila uzaludan posao, kriminalci su smislili plan B - da inficirane računare iskoriste za DDoS napade.

U najboljem slučaju za kriminalce, žrtva može da plati otkup i da računar i dalje služi kao DDoS bot.

Ovo je prvi ransomware koji se može iskoristiti za DDoS napade, ali stručnjaci kažu da će to postati standard u narednim mesecima.



Izvor: informacija.rs