TorrentLocker меняет метод атаки

Оригинальное сообщение от Джон Оливер, старший архитектор

Оригинальное сообщение от   Джон Оливер, старший архитектор   Немного активный на некоторое время   Торрент Locker   Ransomware вернулся и имеет новые варианты (Ransom_CRYPTLOCK

Немного активный на некоторое время Торрент Locker Ransomware вернулся и имеет новые варианты (Ransom_CRYPTLOCK.DLFLVV, Ransom_CRYPTLOCK.DLFLVW, Ransom_CRYPTLOCK.DLFLVS и Ransom_CRYPTLOCK.DLFLVU). Эти варианты используют механизм доставки, который злоупотребляет аккаунтами Dropbox. Это новый вид атаки и подтверждает, что Прогнозы от Trend Micro на 2017 год этот вымогатель развивается вне обычных векторов атаки.

TorrentLocker продолжал работать после пиковых часов, а низкие показатели обнаружения позволяли игрокам продолжать работать в фоновом режиме.

Известный враг в новом камуфляже

Новые варианты TorrentLocker ведут себя так же, как и предыдущие, с существенными изменениями в новом методе распространения и в способе упаковки самого исполняемого файла вредоносного ПО.

Например, новая атака TorrentLocker начинается с того, что электронная почта является счетом от поставщика компании получателя. «Счет» сам по себе не является вложением, но доступен по ссылке Dropbox. Ссылка содержит текст со ссылками на счета-фактуры, счета-фактуры или номера счетов, чтобы они выглядели более достоверными. Используя Dropbox в качестве URL-ссылки, TorrentLocker может обойти датчики шлюза, поскольку вложения отсутствуют, а ссылка поступает с легального веб-сайта.

Например, новая атака TorrentLocker начинается с того, что электронная почта является счетом от поставщика компании получателя

Рисунок 1: Пример фишинговой почты TorrentLocker

Когда пользователь нажимает на ссылку, файл JavaScript, замаскированный по счетам (JS_NEMUCOD), загружается на компьютер жертвы. Если пользователь пытается открыть поддельную накладную, в память загружается другой файл JavaScript, а затем в системе выполняется полезная нагрузка.

Также поразительно, что новые варианты TorrentLocker упакованы как установщик NSIS, чтобы избежать обнаружения. Другие известные программы для вымогательства, такие как CERBER, LOCKY, SAGE и SPORA, используют эту технику.

Степень атак

С 26 февраля по 6 марта он обнаружил Интеллектуальная сеть защиты 54 688 спам-писем, содержащих URL-адреса для 815 различных аккаунтов DropBox. Большинство атак произошло в Европе, причем Германия и Норвегия пострадали больше всего. В Норвегии нападения достигли своего пика в конце февраля и постепенно переместились в Германию в начале марта. Злоумышленники были самыми активными в течение недели, и исследователи Trend Micro обнаружили большинство заражений между 9 и 10 часами утра, то есть в начале работы, с тех пор вероятность того, что сотрудники будут просматривать их почту, является самой высокой. Компании обычно используют Dropbox для управления и передачи своих файлов. Поэтому вполне может быть, что добросовестный работник не сомневается в законности URL-адреса в его или ее почте.

С 26 февраля по 6 марта он обнаружил   Интеллектуальная сеть защиты   54 688 спам-писем, содержащих URL-адреса для 815 различных аккаунтов DropBox

Рисунок 2: График времени пиковых атак

Рисунок 2: График времени пиковых атак   Рисунок 3: Распределение атак
Рисунок 3: Распределение атак

Trend Micro связывается с Dropbox из-за атак. Их команда безопасности удалила все файлы, которые были обнаружены до сих пор, и заблокировала их пользователей.

Контрмеры против Торрента Локера

Организации должны столкнуться с обманом нового TorrentLocker и других подобных вымогателей Принять специальные меры защитить от такого рода атак социальной инженерии. Это в первую очередь включает в себя обучение сотрудников Лучшие практики против фишинговых атак То есть проверка электронной почты на наличие подозрительного содержимого, такого как URL-адреса или отправители. Конечные пользователи должны знать, что они не должны загружать вложения или щелкать по встроенным ссылкам, если они не уверены, что источник является законным.

Wichig также является хорошей стратегией резервного копирования с одним 3-2-1 Политика резервного копирования То есть создайте как минимум три копии данных, две из которых находятся в разных типах хранилищ (внутренняя и сменная) и одна копия за пределами предприятия.

Решения Trend Micro

Решения Trend Micro помогают предприятиям минимизировать риск вымогателей:

Недостаточно реагировать, когда происходит такой инцидент безопасности. Это требует стратегического планирования и упреждающего многоуровневого подхода к шлюзу, конечным точкам, сетям и серверам.

Trend Micro OfficeScan ™ XGen ™ Endpoint Security сочетает в себе машинное обучение и поведенческий анализ с традиционными подходами для выявления и блокирования вымогателей. Компания Trend Micro проверила эти технологии на наличие вредоносных программ такого рода, и они зарекомендовали себя как эффективное, упреждающее решение.

Trend Micro ™ Безопасность облачных приложений Обеспечивает расширенную защиту от вредоносных программ для учетных записей Dropbox Business. Помимо статического сопоставления с образцом, решение проверяет поведение подозрительных файлов в виртуальной песочнице. Она использует проверенные Trend Micro ™ Deep Discovery ™ Технология песочницы, которая рекомендована NSS Labs как «Самая эффективная рекомендуемая система обнаружения нарушений».

Конечные решения, такие как Trend Micro Smart Protection Suites и Сервис Trend Micro без лишних хлопот Защитите пользователей от этих угроз, обнаружив вредоносные файлы и спам-сообщения, а также заблокировав все связанные URL-адреса.

Следующие хэши SHA256 были задействованы в этой атаке:

  • 0d27f890c38435824f64937aef1f81452cb951c8f90d6005cc7c46cb158e255f (определено Trend Micro как JS_NEMUCOD.THCOF)
  • 1a06e44df2fcf39471b7604695f0fc81174874219d4226d27ef4453ae3c9614b (определен Trend Micro как Ransom_CRYPTLOCK.DLFLVV)
  • aa4a0dde592488e88143028acdb8f035eb0453f265efeeebba316a6afe3e2b73 (определен Trend Micro как Ransom_CRYPTLOCK.DLFLVV)
  • 5149f7d17d9ca687c2e871dc32e968f1e80f2a112c574663c95cca073283fc27 (определено Trend Micro как Ransom_CRYPTLOCK.DLFLVW)
  • efcc468b3125fbc5a9b1d324edc25ee3676f068c3d2abf3bd845ebacc274a0ff (определено Trend Micro как Ransom_CRYPTLOCK.DLFLVU)
  • 287ebf60c34b4a18e23566dbfcf5ee982d3bace22d148b33a27d9d1fc8596692 (определено Trend Micro как Ransom_CRYPTLOCK.DLFLVU)
  • ddac25f45f70af5c3edbf22580291aebc26232b7cc4cc37b2b6e095baa946029 (определено Trend Micro как Ransom_CRYPTLOCK.DLFLVU)
  • 1ffb16211552af603a6d13114178df21d246351c09df9e4a7a62eb4824036bb6 (определено Trend Micro как Ransom_CRYPTLOCK.DLFLVS)
  • 1a9dc1cb2e972841aa6d7908ab31a96fb7d9256082b422dcef4e1b41bfcd5243 (определено Trend Micro как Ransom_CRYPTLOCK.DLFLVS)
  • 028b3b18ef56f02e73eb1bbc968c8cfaf2dd6504ac51c681013bcf8e6531b2fc (определено Trend Micro как Ransom_CRYPTLOCK.DLFLVS)
  • 98aad54148d12d6d9f6cab44974e3fe8e1175abc87ff5ab10cc8f3db095c3133 (определено Trend Micro как Ransom_CRYPTLOCK.DLFLVS)
  • f914b02c6de92d6bf32654c53b4907d8cde062efed4f53a8b1a7b73f7858cb11 (определено Trend Micro как Ransom_CRYPTLOCK.DLFLVS)

Дополнительный анализ Энтони Мегарехо