Δευτέρα, 18 Δεκέμβριος 2017, 2:53 μμ

Spora: εμφάνιση νέου εξελιγμένου ransomware

Το Spora ξεχωρίζει γιατί μπορεί να κρυπτογραφήσει τα αρχεία χωρίς να χρειάζεται να επικοινωνήσει με ένα command & control εξυπηρετητή, και το κάνει με τρόπο ώστε για κάθε θύμα να υπάρχει ένα μοναδικό κλειδί αποκρυπτογράφησης.Ερευνητές ασφαλείας εντόπισαν ένα νέο ransomware λογισμικό, με το όνομα Spora, το οποίο μπορεί να εκτελέσει ισχυρή κρυπτογράφηση αρχείων χωρίς σύνδεση και φέρνει αρκετές καινοτομίες στο μοντέλο πληρωμής λύτρων. Το κακόβουλο λογισμικό έχει στόχο ρωσόφωνους χρήστες μέχρι τώρα, αλλά οι δημιουργοί του έχουν δημιουργήσει επίσης μια αγγλική έκδοση του ιστοτόπου αποκρυπτογράφησης, γεγονός που υποδηλώνει ότι πιθανώς θα επεκτείνουν τις επιθέσεις τους σε άλλες χώρες σύντομα.

Το Spora ξεχωρίζει γιατί μπορεί να κρυπτογραφήσει τα αρχεία χωρίς να χρειάζεται να επικοινωνήσει με ένα command & control εξυπηρετητή, και το κάνει με τρόπο ώστε για κάθε θύμα να υπάρχει ένα μοναδικό κλειδί αποκρυπτογράφησης.

Παραδοσιακά προγράμματα ransomware δημιουργούν κλειδιά AES για κάθε κρυπτογραφημένο αρχείο και στη συνέχεια τα κρυπτογραφούν με ένα δημόσιο κλειδί RSA, που δημιουργείται από έναν C&C server.

Τα περισσότερα προγράμματα ransomware μετά την εγκατάστασή τους στο σύστημα επικοινωνούν με ένα C&C server και ζητούν τη δημιουργία ενός ζεύγους κλειδιών RSA. Το δημόσιο κλειδί κατεβαίνει στον υπολογιστή, αλλά το ιδιωτικό κλειδί δεν εγκαταλείπει ποτέ τον server και παραμένει στην κατοχή των επιτιθεμένων. Τα θύματα πληρώνουν για να αποκτήσουν αυτό το ιδιωτικό κλειδί.

Το πρόβλημα της επικοινωνίας με έναν εξυπηρετητή αμέσως μετά την εγκατάσταση του ransomware προκύπτει εξαιτίας της δημιουργίας ενός αδύναμου συνδέσμου για τους επιτιθέμενους. Για παράδειγμα, αν ο server είναι γνωστός στις εταιρείες ψηφιακής ασφάλειας και μπλοκάρεται από ένα firewall, τότε η διαδικασία κρυπτογράφησης δεν ξεκινά.

Ορισμένα προγράμματα ransomware μπορούν να εκτελέσουν τη λεγόμενη offline κρυπτογράφηση, αλλά χρησιμοποιούν το ίδιο δημόσιο κλειδί RSA που είναι «προ-τοποθετημένο» στο malware για όλα τα θύματα. Το μειονέκτημα με αυτή την προσέγγιση για τους επιτιθέμενους είναι ότι ένα εργαλείο αποκρυπτογράφησης που θα δοθεί σε ένα θύμα – που θα έχει πληρώσει τα λύτρα – θα λειτουργήσει για όλα τα θύματα επειδή μοιράζονται το ίδιο ιδιωτικό κλειδί.

Οι δημιουργοί του Spora έχουν λύσει αυτό το πρόβλημα, σύμφωνα με τους ερευνητές της εταιρείας ασφαλείας Emsisoft, που ανέλυσαν τη ρουτίνα κρυπτογράφησης του λογισμικού.

Το κακόβουλο λογισμικό περιέχει ένα «προ-τοποθετημένο» δημόσιο κλειδί RSA, αλλά αυτό χρησιμοποιείται για την κρυπτογράφηση ενός μοναδικού κλειδιού AES που δημιουργείται τοπικά για κάθε θύμα. Αυτό το κλειδί AES στη συνέχεια χρησιμοποιείται για την κρυπτογράφηση του ιδιωτικού κλειδιού από ένα ζεύγος δημόσιου – ιδιωτικού κλειδιού RSA που επίσης δημιουργείται τοπικά και είναι μοναδικό για κάθε θύμα. Τέλος, το δημόσιο κλειδί RSA του θύματος χρησιμοποιείται για την κρυπτογράφηση των κλειδιών AES που χρησιμοποιούνται για την κρυπτογράφηση μεμονωμένων αρχείων.

Με άλλα λόγια, οι δημιουργοί του Spora έχουν προσθέσει ένα δεύτερο γύρο κρυπτογράφησης AES και RSA σε ό,τι άλλα προγράμματα ransomware έκαναν μέχρι τώρα.

Όταν τα θύματα θέλουν να πληρώσουν τα λύτρα, θα πρέπει να ανεβάσουν τα κρυπτογραφημένα κλειδιά AES τους στην ιστοσελίδα πληρωμών των επιτιθεμένων. Οι επιτιθέμενοι θα χρησιμοποιήσουν στη συνέχεια το master RSA ιδιωτικό κλειδί τους για να το αποκρυπτογραφήσουν και να το επιστρέψουν πίσω στο θύμα.

Το πρόγραμμα αποκρυπτογράφησης θα χρησιμοποιήσει το κλειδί AES για να αποκρυπτογραφήσει το μοναδικό ιδιωτικό κλειδί RSA του θύματος που δημιουργήθηκε σε τοπικό επίπεδο και το κλειδί αυτό θα χρησιμοποιηθεί στη συνέχεια για την αποκρυπτογράφηση των AES κλειδιών ανά αρχείο που απαιτούνται για την ανάκτηση των αρχείων.

Απ’ ότι φαίνεται, μετά από αξιολόγηση του τρόπου εκτέλεσης της κρυπτογράφησης του Spora, δεν υπάρχει τρόπος – με τα σημερινά δεδομένα – να επαναφέρετε κρυπτογραφημένα αρχεία.

Για περισσότερες λεπτομέρειες, διαβάστε το άρθρο της εταιρείας Emsisoft.

Δείτε επίσης:

Η ομάδα ανάπτυξης του ProtonMail ανακοίνωσε στις 13 Αυγούστου την έκδοση 2.0 της εφαρμογής μαζί με το πλήρες άνοιγμα του κώδικα του ProtonMail.

ProtonMail: Υιοθετεί τον ανοικτό κώδικα!

Η ομάδα ανάπτυξης του ProtonMail ανακοίνωσε στις 13 Αυγούστου την έκδοση 2.0 της εφαρμογής μαζί …