קספרסקי מזהירים: תוכנת כופר חדשה תוקפת עסקים

החוקרים חשפו חשפו גרסה חדשה של תוכנת הכופר RAA, נוזקה אשר נכתבה במלואה ב-JScript. הסוס הטרויאני החדש מעביר לקורבנות קובץ ZIP המכיל קובץ .js זדוני. הגרסה המעודכנת יכולה לבצע הצפנה ללא חיבור לאינטרנט, ללא הצורך לבקש מפתח משרת הפיקוד. מומחי מעבדת קספרסקי מאמינים כי שימוש בגרסה זו של הנוזקה יאפשר לעבריינים להתמקד יותר במטרות עסקיות.

בקספרסקי מספרים כי מדובר בגרסה חדשה לתוכנת הכופר RAA , אשר הופיעה בנוף האיומים ביוני 2016 והייתה תוכנת הכופר הראשונה שנחשפה אשר נכתבה כולה ב-Jscript . הגרסה המעודכנת יכולה לבצע הצפנה ללא חיבור לאינטרנט וללא הצורך לבקש מפתח משרת הפיקוד. הגרסה הנוכחית, בדומה לקודמתה, מופצת דרך הדואר האלקטרוני, אך כעת הקוד הזדוני מוסתר בקובץ ZIP מצורף המוגן בסיסמא. על פי קספרסקי "הפושעים הטמיעו אמצעי זה במטרה להונות פתרונות אנטי וירוס, מכיוון שקשה יותר לבחון את תוכן הקובץ המוגן. מניתוח הדואר האלקטרוני". החוקרים הסיקו כי מפיצי הקוד ממוקדים בעסקים ולא במשתמש המצוי, זאת מכיוון שההודעות הזדוניות מכילות מידע אודות חובות של ספקים. על מנת שההודעות יראו אמינות יותר, השולחים ציינו כי הקובץ המצורף מוגן בסיסמא מסיבות אבטחה (הסיסמא לקובץ צורפה בתחתית ההודעה) ומוגן על ידי הצפנה א-סימטרית. הצהרה זו נשמעת מגוחכת באוזניי משתמשים מנוסים, אבל מצליחה להטעות קורבנות תמימים.

המשך תהליך ההדבקה נראה דומה לזה של גרסאות RAA קודמות. הקורבן מפעיל קובץ .js, אשר מתחיל את התהליך הזדוני. כדי להסיט את תשומת לב הקורבן, הסוס הטרויאני מציג מסמך טקסט מזויף אשר מכיל מערך רנדומלי של אותיות. בעוד הקורבן מנסה להבין מה קורה, ברקע ה-RAA מצפין קבצים על המכשיר. בסופו של דבר, תוכנת הכופר יוצרת הודעת דרישה לדמי כופר על שולחן העבודה וכל הקבצים המוצפנים זוכים לסיומת .locked חדשה. בהשוואה לגרסה הקודמת, ההבדל המרכזי הוא שכעת ה-RAA לא צריך לתקשר עם שרת הפיקוד והשליטה כדי להצפין קבצים על מחשב הקורבן, כפי שנזקק בעבר. במקום לבקש מפתח מאסטר משרת הפיקוד והשליטה, הסוס הטרויאני מייצר, מצפין ומאחסן אותו על המכשיר הנגוע. פושעי סייבר מחזיקים את המפתח הפרטי כדי לפצח את ההצפנה הייחודית של מפתח המאסטר. ברגע שהכופר משולם, הפושעים מבקשים מהמשתמש לשלוח להם את מפתח המאסטר המוצפן, אשר יוחזר אל הקורבן לצורך פתיחת ההצפנה יחד עם תוכנת פיענוח. ככל הנראה, דרך פעולה זו נבחרה על מנת לאפשר לנוזקה להדביק מכשירים שאינם מחוברים לרשת וגם כאלו שכן.

אך זה לא הכל - יחד עם תוכנת הכופר RAA, הקורבן גם מקבל את הסוס הטרויאני Pony, אשר מסוגל לגנוב סיסמאות מכל שרתי הדואר, כולל שרתים ארגוניים, ולשלוח אותם לתוקף מרוחק. באמצעות סיסמאות אלה, הפושעים יכולים להפיץ את הנוזקה שלהם בשם המשתמשים שנפגעו, וכך קל להם יותר לשכנע את הקורבן הבא כי ההודעה שהתקבלה היא ממקור אמין. מהדואר האלקטרוני של הקורבן, הנוזקה יכולה להיות מופצת לרשימה המלאה של אנשי קשר עסקיים, ומשם, הפושעים יכולים לבחור אנשי קשר מעניינים ולבצע התקפות ממוקדות."אנו מאמינים כי הסוס הטרויאני RAA נוצר כדי לבצע התקפות ממוקדות על עסקים. השילוב בין תוכנת כופר לבין גונב סיסמאות הינו שילוב מסוכן, המגביר את הסיכויים של פושעי הסייבר להשגת כסף - ראשית, מהכופר שהחברה תשלם כדי לשחרר את הקבצים, ושנית, מהקורבנות הפוטנציאליים החדשים שניתן להתמקד בהם על ידי שימוש בהרשאות שנאספו על ידי הסוס הטרויאני 'Pony'". בנוסף לכך, עם האפשרות להצפנה לא מקוונת, הגרסה החדשה של ה-RAA הופכת למסוכנת יותר", אמר פדור סיניטסין, חוקר נוזקות בכיר במעבדת קספרסקי.