Глобальная чрезвычайная ситуация в области здравоохранения создала многочисленные возможности для распространения киберпреступлений. Инфраструктура здравоохранения, также учитывающая нападения, совершенные против Всемирной организации здравоохранения (ВОЗ), оказалась чувствительной целью. Италия не была защищена от этих атак.
25 мая CERT-AgID сообщил о существовании вымогателей, замаскированных под антиковидское приложение. Исследователь JAMESWT обнаружил кампанию вредоносного спама, посредством которой хакеры «приглашают» загрузить вредоносный файл IMMUNI.exe, содержащий вымогателей ЕбатьЕдинорог.
В электронном письме гражданам предлагается загрузить исполняемый файл на сайте, имитирующем Федерация итальянских заказов фармацевтов, Домен сайта, созданного ad hoc, фактически является "fofl", в то время как федерация - это "фофи", что делает мошенничество более вероятным.
После открытия вымогатель открывает поддельную информационную панель с результатами заражения Covid-19, эмулирующим то, что было создано Центром системотехники и инженерии (CSSE) Университета Джона Хопкинса. Тем временем файлы, доступные на компьютере, зашифрованы и переименованы в «.fuckunicornhtrhrtjrjy». Как только это будет сделано, в обмен на публикацию данных появится выкуп на 300 евро в биткойнах.
CERT-AgID подробно сообщил о работе программы-вымогателя. Он использует алгоритм AES CBC и случайно сгенерированный пароль, который используется для управления и контроля (C&C) и доступен по адресу http: // 116 [.] 203 [.] 210 [.] 127 / write.php. Поиск файлов ведется по папкам:
-
Для ПК
-
Ссылки
-
Контакты
-
Документы
-
Скачать
-
Картинки
-
Музыка
-
Один диск
-
Сохраненные игры
-
Избранное
-
Поисковые запросы
-
Видео
И это касается файлов расширений: .txt, .jar, .exe, .dat, .contact, .settings, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg ,. png, .csv, .py, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .htm, .xml, .psd, .pdf, .dll, .c, .cs, .mp3, .mp4, .f3d, .dwg, .cpp, .zip, .rar, .mov, .rtf, .bmp, .mkv, .avi, .apk, .lnk, .iso, .7-zip, .ace, .arj, .bz2, .cab, .gzip, .lzh, .tar, .uue, .xz, .z, .001, .mpeg, .mp3, .mpg, .core, .crproj, .pdb , .ico, .pas, .db, .torrent "
CERT-AgID сообщил, что на данный момент никакие транзакции не зарегистрированы на счете криптовалюты, указанном в запросе на погашение.
Ransomware, а также фишинговые электронные письма все чаще используются преступными хакерами, поскольку они являются простыми в использовании инструментами.
Как противостоять этим атакам?
В 2016 году Европейский центр киберпреступности Европола выступил с инициативой в сотрудничестве с Национальным подразделением по преступлениям в сфере высоких технологий полиции Нидерландов и McAfee, чтобы помочь жертвам восстановить свои данные без необходимости платить преступникам.
Инициатива, Нет Больше Ransom (ЯМР) также направлена на предотвращение атак путем обучения пользователей возможным мерам противодействия, которые необходимо принять. В частности, на сайте инициативы (https://www.nomoreransom.org/it/prevention-advice.html) показаны следующие измерения:
-
Создайте резервные копии своих данных, «чтобы инфекция-вымогатель не смогла навсегда уничтожить ваши данные». Лучше всего создать резервную копию для сохранения в облаке, а другую - для физического сохранения.
-
Используйте надежное антивирусное программное обеспечение.
-
Постоянно обновляйте программное обеспечение на компьютере, устанавливая новые версии операционной системы.
-
Не открывайте вложения электронной почты от незнакомцев
-
Разрешить опцию «Показать расширения файлов» в настройках Windows, чтобы упростить поиск вредоносных файлов.
Приложение IMMUNI было и остается предметом серьезных дискуссий о потенциальных уязвимостях защиты данных. Однако еще до запуска приложения для отслеживания хакеры уже определили потенциальные незаконные выгоды как с экономической, так и с точки зрения данных.
Sitography:
https://cert-agid.gov.it/news/campagna-ransomware-fuckunicorn-sfrutta-emergenza-covid-19/
https://www.nomoreransom.org/it/index.html
Изображения: Интернет / CERT-AgID
