Home / Malware / Ransomware / Bart ransomware: προσπερνά τα εταιρικά firewalls

Bart ransomware: προσπερνά τα εταιρικά firewalls

Το Bart, μια νέα έκδοση ransomware έχει κάνει την εμφάνισή της. Παρόλο που μοιάζει αρκετά με τα διαδεδομένα Dridex 220 και Locky Affid=3, χρησιμοποιεί μια τεχνολογία που του επιτρέπει να επιτίθεται με επιτυχία σε οργανισμούς οι οποίοι χρησιμοποιούν ήδη μέτρα προστασίας ενάντια σε διάφορα είδη malware.

Το Bart, μια νέα έκδοση ransomware έχει κάνει την εμφάνισή της. Παρόλο που μοιάζει αρκετά με τα διαδεδομένα Dridex 220 και Locky Affid=3, χρησιμοποιεί μια τεχνολογία που του επιτρέπει να επιτίθεται με επιτυχία σε οργανισμούς οι οποίοι χρησιμοποιούν ήδη μέτρα προστασίας ενάντια σε διάφορα είδη malware.

Δεν απαιτείται εξωτερική σύνδεση

Σύμφωνα με εκθέσεις ειδικών, η νέα έκδοση ransomware Bart δε χρειάζεται να συνδεθεί σε εξωτερικό command & control server προκειμένου να κρυπτογραφήσει τα δεδομένα του χρήστη, γεγονός που δυσκολεύει το μπλοκάρισμά της: το Bart είναι σε θέση να κρυπτογραφήσει υπολογιστές που βρίσκονται πίσω από εταιρικά firewall και τα οποία σε άλλες περιπτώσεις θα μπλόκαραν τέτοιου είδους traffic.

Το κακόβουλο αρχείο φτάνει πρώτα σε μορφή συμπιεσμένου συνημμένου JavaScript αρχείο, άρα οι οργανισμοί και οι επιχειρήσεις πρέπει να διασφαλίσουν ότι τα zipαρισμένα εκτελέσιμα αρχεία μπλοκάρονται από την email gateway τους.

Το Bart, που πρωτοεμφανίστηκε να διαδίδεται μέσω μιας μεγάλης καμπάνιας spam την περασμένη Παρασκευή, φτάνει ως ένα email με θέμα «Photos» με επισυναπτόμενο ένα αρχείο με όνομα «photos.zip». Το αρχείο zip περιέχει ένα αρχείο JavaScript με την ονομασία PDF_123456789.js, όμως η επέκταση .js δεν εμφανίζεται – από προεπιλογή – στα Windows. Έτσι, το αρχείο φαίνεται με την πρώτη ματιά να είναι ένα PDF έγγραφο.

Το Bart, που πρωτοεμφανίστηκε να διαδίδεται μέσω μιας μεγάλης καμπάνιας spam την περασμένη Παρασκευή, φτάνει ως ένα email με θέμα «Photos» με επισυναπτόμενο ένα αρχείο με όνομα «photos.zip». Το αρχείο zip περιέχει ένα αρχείο JavaScript με την ονομασία PDF_123456789.js, όμως η επέκταση .js δεν εμφανίζεται – από προεπιλογή – στα Windows. Έτσι, το αρχείο φαίνεται με την πρώτη ματιά να είναι ένα PDF έγγραφο.

Ρωσία, Ουκρανία και Λευκορωσία δεν απειλούνται!

Το πρόγραμμα, μετά την εγκατάστασή του, ελέγχει τη γλώσσα του συστήματος και δε μολύνει υπολογιστές που χρησιμοποιούν ρωσικά ή ουκρανικά.

Αν εντοπιστούν ιταλικά, γαλλικά, γερμανικά, ισπανικά ή αγγλικά, τότε χρησιμοποιούνται αρχεία μεταφρασμένα στις γλώσσες αυτές.

Μόλις ένα σύστημα κρυπτογραφηθεί, ζητείται από τους χρήστες να πληρώσουν 3 bitcoins – περίπου 1500 δολάρια – για να ξεκλειδώσουν τα αρχεία τους. Αντί για σύνδεση σε έναν command server, το malware φαίνεται να συνδέεται στον server πληρωμών χρησιμοποιώντας την παράμετρο “id” του URL.

Ανάπτυξη

Σύμφωνα με τους ειδικούς της εταιρείας Proofpoint, φαίνεται ότι πίσω από τη δημιουργία του Bart κρύβονται οι δημιουργοί των Dridex 220 και Locky Affid=3: η μέθοδος διάδοσης, το στυλ του μηνύματος απαίτησης λύτρων και το στυλ του portal πληρωμών παρουσιάζουν σημαντικές ομοιότητες με τα προαναφερθέντα λογισμικά.

Ο server που φιλοξενεί το malicious payload του Bart φαίνεται ότι φιλοξενεί και τα Dridex και Locky Affid=3, ενώ στον πηγαίο κώδικα και των τριών κακόβουλων λογισμικών εντοπίζονται αρκετά κοινά κομμάτια.

Πολλά είδη ransomware προκύπτει, τέλος, ότι χρησιμοποιούν JavaScript, καθώς οι χρήστες έχουν αρχίσει να γίνονται ιδιαίτερα επιφυλακτικοί στο άνοιγμα αρχείων τύπου Word που μπορεί να περιέχουν κακόβουλες μακροεντολές.

Χρήσιμο
Ευανάγνωστο

User Rating: 4.85 ( 1 votes)

About CyberG

Check Also

Spora: εμφάνιση νέου εξελιγμένου ransomware

Ερευνητές ασφαλείας εντόπισαν ένα νέο ransomware λογισμικό, με το όνομα Spora, το οποίο μπορεί να …

Leave a Reply

Your email address will not be published. Required fields are marked *