A frissített RAA zsarolóvírus cégeket támad és adatlopó vírust telepít

/in /by

Gyorsan fertőz, és még kapcsolat sem kell neki a titkosítást végző C&C (command and control) szerverrel.

Frissítették a RAA zsarolóvírust, amely adatlopó trójai programot is tartalmaz. Annak az új technikának köszönhetően, hogy internetcsatlakozás nélkül is telepíteni tudja a kártevőt és titkosítani a gépet, hatékonyabban gyűjti üzleti áldozatait.

Az RAA zsarolóvírus júniusban jelent meg, de ez a fajta kártevő gyorsan fertőz, idén kifejezetten beindult, és a Kaspersky Lab cyberbiztonsági kutatói azóta felfedezték egy új változatát is.

Az előző verzióhoz hasonlóan emailen terjed, de ezúttal a fertőző kód egy jelszóval védett zip csatolmányban rejtőzik, így a vírusirtók nehezen ismerik fel (a védett archív fileokat a biztonsági programok nehezebben tudják jól átvizsgálni).

Az RAA változtatott a kiszemelt prédáin is: vállalati felhasználókat szemel ki, feltehetően a magasabb követelhető összeg miatt. Az email a csatolmányról azt írja, hogy lejárt számlatartozásról szóló információt tartalmaz, és „biztonsági okokból” védik jelszóval – ez a plusz biztonsági utalás elegendő lehet ahhoz, hogy a felhasználó bedőljön a trükknek és elkezdje az RAA telepítését.

A fertőzés a korábbiakhoz hasonlóan megy végbe: a zsarolóvírus akkor telepítődik, amikor az áldozat lefuttatja a kártevő .js fájlt. A zsaroló üzenet megjelenése és a .locked kiterjesztéssel való fájltitkosítás előtt figyelemelterelés céljából egy összevissza karaktereket tartalmazó szövegdokumentum jön fel.

Az új RAA verzió attól lett még hatékonyabb, hogy nem kell kommunikálnia a C&C szerverrel a fájltitkosítás elvégzéséhez. Nem szükséges már hozzá központi kód, mert a trójai program saját kódokat generál a fertőzőtt gépen, így az online mellett offline gépek is áldozatul esnek.

Ha az nem lenne elég rossz, hogy egy céget kizárnak saját fájljaiból, a vírus a „Pony” adatlopó trójai programot is telepíti, amely belépőkódokat is képes ellopni – tulajdonképpen a BetaBot fordítottját csinálja, amely adatokat lop és aztán zsarolóvírussal is fertőzi áldozatát.

A vállalati jelszavak megszerzése a hackerek számára javítja a zsarolóvírus rendszerének hatékonyságát: hiteles üzleti felhasználókkal terjesztheti a trójai programot a kontaktjaik körében, így célzott támadásokat képes véghez vinni. Továbbá el is tudják adni ezeket a jelszókat más hackereknek az internet sötét oldalán.

A többi zsarolóvírushoz hasonlóan a hackerek pénzt követelnek a fájlok feloldásáért cserébe. Bár a kártevő jelenleg többnyire orosz nyelvű felhasználókat érint, a siker nyomán elég hamar globális méretűre hízhat.

Egyre inkább üzleti hálózatokat céloz, mivel jóval jövedelmezőbbek lehetnek – ezt mutatta a Hollywood kórház elleni támadás, amely során a cyberbűnözők 17.000 dollár (azaz kb. 4.7 millió Ft) értékű bitcoint tettek zsebre.

A cybertámadások növekvő fenyegetettsége ellenére a Juniper Research kutatócég legújabb adatai szerint a vállalatok még mindig nem fogják fel a cyberbiztonság jelentőségét; háromnegyedük azt hiszi, hogy teljesen védett, annak ellenére, hogy minden második elszenvedett már valamilyen támadást.

A kutatás arra is rámutat, hogy vállalatok alig egyharmada figyeli adathalászati kísérletek kiszűrése céljából aktívan az emaileket, pedig ez a kártékony szoftverek és zsarolóvírusok leggyakoribb támadási technikája és némi alap cyberbiztonsági technikával viszonylag könnyen elkerülhetők lennének.

 

Forrás: ZDNet.

 

További érdekességekért keresse fel rendszergazda blogunkat!

Ez is érdekelheti
A Microsoft figyelmeztet: Windows kék halál csalók által készített vírustól
”Locky” váltságdíj-vírus, legyünk óvatosak az e-mail mellékletekkel

Értékesítés/kapcsolatfelvétel: +36 20 4245071

rendszergazda-szolgaltatas2@doit.hu

Siti Marianna
Értékesítési manager

doit

Adatkezelési nyilatkozat

A Microsoft a beszédfelismerés világbajnoka? A Windows 10 évfordulós frissítése november elejéig is eltarthat