Σάββατο, 21 Απρίλιος 2018, 8:36 πμ

Το ransomware TorrentLocker «χτυπάει» Αυσταλία και Νέα Ζηλανδία

cryptolocker

Μετά την πρόσφατη διαπίστωση ότι η περιοχή EMEA (Europe – Middle East – Africa) κατακλύστηκε από λογισμικό τύπου ransomware, και συγκεκριμένα επιθέσεις με crypto-ransomware λογισμικό, φαίνεται ότι ήρθε η σειρά της Αυστραλίας και της Νέας Ζηλανδίας (περιοχή ANZ – Australia – New Zealand) να γίνει στόχος επιθέσεων με κακόβουλο λογισμικό. Οι τελευταίες ειδήσεις που φτάνουν στο Cyber Security αναφέρονται σε malware που στοχεύει σε Torrent, και που έχει λάβει την ονομασία TorrentLocker.

Αλυσιδωτές μολύνσεις

1

Εικόνα 1: Πως εξαπλώνεται το λογισμικό στην περιοχή Αυστραλίας – Νέας Ζηλανδίας

Το malware είναι κρυμμένο σε μηνύματα ηλεκτρονικού ταχυδρομείου, αποστολέας των οποίων φαίνεται να είναι η κυβέρνηση του New South Wales ή η εθνική ταχυδρομική υπηρεσία της Αυστραλίας. Μόλις οι χρήστες κλικάρουν στο σύνδεσμο που περιέχεται στο μήνυμα, τότε ανακατευθύνονται σε μια παραποιημένη ψεύτικη σελίδα, που μοιάζει πανομοιότυπη με την επίσημη, αλλά δεν είναι.

Οι χρήστες καλούνται, αφού πρώτα εισάγουν ένα κωδικό CAPTCHA, να κατεβάσουν ένα αρχείο. Αν ο χρήστης εισάγει σωστά τον κωδικό, τότε ξεκινάει το downloading ενός συμπιεσμένου αρχείου από τον ιστότοπο φιλοξενίας αρχείων SendSpace.

Αν ο χρήστης ανοίξει το συμπιεσμένο αρχείο και εκτελέσει το κακόβουλο λογισμικό, αυτό θα συνδεθεί σε έναν command-and-control (C&C) εξυπηρετητή. Στη συνέχεια, μετά την επιτυχή αποστολή και λήψη πληροφοριών, το malware θα κρυπτογραφήσει τα αρχεία στο μηχάνημα του χρήστη με τη χρήση Elliptic Curve Cryptography Encryption, προσθέτοντας στο όνομα των αρχείων την κατάληξη .encrypted. Σειρά έχει η εμφάνιση ενός αρχείου .html με οδηγίες αποκρυπτογράφησης – όπου φυσικά ο χρήστης καλείται να πληρώσει «λύτρα». Το λογισμικό μάλιστα προχωράει στη διαγραφή του προσωρινού αντιγράφου του μολυσμένου συστήματος, εκτελώντας στη γραμμή εντολών τη διαταγή vssadmin.exe Delete Shadows /All /Quiet, εμποδίζοντας έτσι το χρήστη να επαναφέρει τα αρχεία του μέσω του μηχανισμού επαναφοράς συστήματος.

Το συντριπτικό ποσοστό των αποδεκτών των μηνυμάτων είναι χρήστες από την Αυστραλία.

Πληρωμές με Bitcoin

Για να πληρώσουν, οι χρήστες πρέπει να εγγραφούν στο ψηφιακό πορτοφόλι Bitcoin και να αγοράσουν bitcoins από τα προτεινόμενα link. Μόλις ολοκληρωθεί η πληρωμή, οι κυβερνοεγκληματίες μεταφέρουν την πληρωμή από την «προσωρινή» διεύθυνση Bitcoin στην πραγματική τους, ή μπορεί να αρχίσουν μια αλυσίδα ανταλλαγών ώστε οι μεταφορές να μη μπορούν να ανιχνευτούν από τις διωκτικές Αρχές. Το λογισμικό αποκρυπτογράφησης λειτουργεί μόνο στο μολυσμένο μηχάνημα. Απαιτεί ένα κλειδί αποκρυπτογράφησης της τάξης των 30 hex block, που είναι μοναδικό και μπορεί να λειτουργήσει μόνο στο συγκεκριμένο μηχάνημα. Σε διαφορετική περίπτωση, καταστρέφει τα αρχεία.

Στους χρήστες που προσβλήθηκαν από το malware έχουν αποδοθεί μοναδικοί αριθμοί, με το ακόλουθο format:

hxxp[:]//{gibberish}.gate2tor.org/buy.php?user_code={xxxxxxx}

Μετά τις 9 Δεκεμβρίου, οι spammers πρόσθεσαν και κωδικό, με το ακόλουθο format:

hxxp[:]//r2bv3u64ytfi2ssf.way2tor.org/buy.php?user_code={xxxxx}&user_pass={xxxx}

Αυτά τα URLs είναι διαθέσιμα μόνο μέσω του δικτύου TOR, δηλαδή τα domain τους χρησιμοποιούν  TOR2Web Network Proxy. Όταν ο χρήστης χρησιμοποιεί το TOR2Web, δε χρειάζεται να εγκαταστήσει Tor Browser για να πληρώσει. Η ανωνυμία του TOR δικτύου χρησιμοποιείται για να αποκρύψει την κίνηση του δικτύου. Σε αυτή την περίπτωση, ο κύριος σκοπός είναι η απόκρυψη της πληροφορίας που απαιτείται να εισάγει ο χρήστης για να αποκρυπτογραφήσει τα αρχεία του μόλις πληρώσει.

Η ιστοσελίδα που βλέπει ο χρήστης τον προειδοποιεί ότι η τιμή θα διπλασιαστεί μετά από 96 ώρες – ή 4 ημέρες. Στην Αυστραλία, η τιμή είναι 598 δολάρια Αυστραλίας. Ωστόσο, αν ο χρήστης δε βρίσκεται στις ζώνες ANZ ή EMEA, τότε θα εμφανιστεί μια σελίδα γραμμένη στα αγγλικά, όπου το ποσό των «λύτρων» θα έχει μετατραπεί σε δολάρια Αμερικής.

2

Εικόνα 2: Χαρακτηριστικά μηνύματα από την Αυστραλία, την Ισπανία και περιοχές εκτός ANZ / EMEA.

 Τεχνικές διείσδυσης μηνυμάτων Spam

Για να αυξηθούν οι πιθανότητες τα μηνύματα spam να παραδοθούν και να ανοιχτούν, οι καμπάνιες αποστολής συμμορφώνονταν με την καθορισμένη πολιτική αποστολέα [Sender Policy Framework (SPF)]. Για παράδειγμα, σε μια από τις καμπάνιες, το domain αποστολέα ήταν το send-nsw-gov[.]org, το οποίο θα μπορούσε να προσπεράσει τον έλεγχο SPF, και συνεπώς να παραδοθεί στους χρήστες.

3

Εικόνα 3: Τα spam μηνύματα εξασφαλίζουν το SPF pass

 Για να αποφύγουν την ανίχνευση από το λογισμικό των θυρίδων ηλεκτρονικού ταχυδρομείου, που μπορεί να ακολουθήσει links, τα emails απαιτούν από το χρήστη να επισκεφθεί μια ιστοσελίδα και εκεί να εισάγει ένα κωδικό CAPTCHA, για να κατεβάσει το κακόβουλο λογισμικό από το SendSpace.

4

Εικόνα 4: Δείγμα παραποιημένης ιστοσελίδας με κωδικό CAPTCHA

 Ανιχνεύοντας τη δραστηριότητα

Προέκυψε ότι spammers χρησιμοποιούσαν έναν premium λογαριασμό στο SendSpace. Μετά από κάθε επιτυχή εισαγωγή κωδικού CAPTCHA, κατεβαίνει ένα αρχείο μέσω διάφορων link από το SendSpace. Με χρήση PHP script οι εγκληματίες καταφέρνουν να στείλουν στους χρήστες μοναδικά links. Τα αρχεία που κατεβαίνουν σε συμπιεσμένη μορφή στον υπολογιστή έχουν λέξεις κλειδιά όπως “id_{XXXXXXXXXX}” (τα Χ είναι ψηφία) . Για παράδειγμα, το ψεύτικο URL hxxp://up-nsw-gov.org/detailed_info.php οδηγεί το χρήστη στα ακόλουθα link του SendSpace:

hxxps://{BLOCKED}.sendspace.com/dlpro/ 55d80514c4d20419f547b5bd160ef426/5487c03a/vxj0fm/id_50920949811.zip

hxxps:// {BLOCKED}.sendspace.com/dlpro/ 85952624fa01ab335913c23c4498f20b/5487c1e8/vxj0fm/id_50920949811.zip

hxxps:// {BLOCKED}.sendspace.com/dlpro/ 0fb326db3791c23d21898762c9df4b81/5487c214/vxj0fm/id_50920949811.zip

hxxps:// {BLOCKED}.sendspace.com/dlpro/ 70abb3d3bb12ece9b6b6124f946ae4ea/5487c23a/vxj0fm/id_50920949811.zip

hxxps:// {BLOCKED}.sendspace.com/dlpro/ 56d96d1b6d2797bed69d2f96ceac2816/5487c2fd/vxj0fm/id_50920949811.zip

hxxps:// {BLOCKED}.sendspace.com/dlpro/ 5bdee22341c06552d704d0e7cffd0834/5487c31d/vxj0fm/id_50920949811.zip

hxxps:// {BLOCKED}.sendspace.com/dlpro/ 0ed43ad79aefd484a8d481343fc28c14/5487c53c/vxj0fm/id_50920949811.zip

Αν προσέξει κανείς με λεπτομέρεια τις συμβολοσειρές, θα δει ότι το id_50920949811.zip επαναλαμβάνεται, γεγονός που σημαίνει ότι όλα τα παραπάνω links αφορούσαν την ίδια επίθεση.

Εντοπίστηκαν επίσης πολλά ψεύτικα domains, 180 για τα ταχυδρομεία της Αυστραλίας και 134 για την κυβέρνηση του New South Wales. Τα domains αυτά φιλοξενούνται σε ρωσικούς servers, και έχουν κατοχυρωθεί από συγκεκριμένες διευθύνσεις email:

91.218.228XXX

193.124.200.13X

193.124.205.18X

193.124.89.10X

Οι C&C εξυπηρετητές στις επιθέσεις αυτές είχαν προσφάτως καταχωρηθεί και φιλοξενούνταν σε IP διευθύνσεις με εύρος από 46.161.30.17 έως 46.161.30.49. Βρέθηκαν, επίσης, 8 domains στα οποία συμπεριλαμβάνονται τα adwordshelper[.]ru και countryregion[.]ru.

Αντιμετώπιση

Οι πολυσύνθετες επιθέσεις (spam μηνύματα, ψεύτικες ιστοσελίδες και κακόβουλο λογισμικό) απαιτούν και πολύ-επίπεδη αντιμετώπιση. Η διεύθυνση email του αποστολέα είναι το πρώτο που πρέπει να κοιτάξουμε. Όχι μόνο το όνομα που εμφανίζεται, αλλά και η διεύθυνση. Έπειτα, τα links που περιέχονται στα μηνύματα ή τα κρυμμένα links των links. Τέλος, σε καμία περίπτωση δεν πρέπει να δεχόμαστε την εγκατάσταση λογισμικού από άγνωστη πηγή και άγνωστο κατασκευαστή.

Δείτε επίσης:

Ασφάλεια στο Διαδίκτυο: οι απειλές του 2014

Πέσατε ποτέ θύμα phishing; Σας επισκέφτηκε ποτέ ένα Trojan ή ένα botnet; Περισσότεροι από ένα εκατομμύριο …