ΑρχικήsecurityΤο Elgato Ransomware στοχεύει Androids | Κλέβει SMS, Κλειδώνει SD Card

Το Elgato Ransomware στοχεύει Androids | Κλέβει SMS, Κλειδώνει SD Card

Η Elgato ransomware οικογένεια, που ανακαλύφθηκε πρόσφατα από τους ερευνητές της Intel McAfee, στοχεύει συσκευές Android. Συγκεκριμένα, κλειδώνει τη συσκευή του χρήστη, κρυπτογραφεί τα αρχεία του και ακόμη, κλέβει τα μηνύματα SMS του όταν του ζητηθεί.

Το ransomware λειτουργεί με βάση έναν πίνακα ελέγχου από τον οποίο οι απατεώνες στέλνουν εντολές σε μολυσμένες συσκευές.

Οι Intel McAfee ερευνητές λένε ότι το Elgato ελέγχει για νέες εντολές από τον C&C διακομιστή σε τακτά χρονικά διαστήματα. Αυτές οι εντολές στέλνονται στο ransomware σε HTTP, χωρίς κρυπτογράφηση.

Το Elgato Ransomware στοχεύει Androids | Κλέβει SMS, Κλειδώνει SD Card

Μερικές από τις εντολές που υποστηρίζονται περιλαμβάνουν τη δυνατότητα να διαβιβαστούν και να διαγραφούν όλα τα μηνύματα SMS, να σταλεί ένα μήνυμα από τη μολυσμένη συσκευή, να κρυπτογραφηθούν τα αρχεία στην κάρτα SD ή να κρυπτογραφηθούν αρχεία από ένα συγκεκριμένο path. Όλα τα κρυπτογραφημένα αρχεία θα έχουν την χαρακτηριστική .enc κατάληξη αρχείου στο τέλος.

Επιπλέον, ο απατεώνας μπορεί να κλειδώσει την οθόνη του χρήστη και να οδηγήσει το ransomware να αποκρυπτογραφήσει όλα τα προηγουμένως κρυπτογραφημένα αρχεία. Με αυτό τον τρόπο, το ransomware χρησιμεύει και ως Decrypter αφότου ο χρήστης θα έχει καταβάλει το επιθυμητό ποσό.

Στην τρέχουσα έκδοσή του, οι εμπειρογνώμονες της Intel McAfee λένε ότι το Elgato δεν δείχνει κάποιο σημείωμα για λύτρα, ούτε να ζητάει χρήματα, αλλά απλώς δείχνει μια εικόνα μιας αξιαγάπητης γάτας κάθε φορά που κλειδώνει την οθόνη του χρήστη. Εξ’ ου και το όνομα του ransomware, El Gato, που σημαίνει “Η Γάτα” στα ισπανικά.

Δεδομένου ότι όλες οι επικοινωνίες συμβαίνουν μέσω HTTP, οι ερευνητές ήταν σε θέση να εντοπίσουν τον C&C εξυπηρετητή του Elgato, όπου -προς μεγάλη τους έκπληξη- βρήκαν τον botnet πίνακα ελέγχου ανοικτό σε εξωτερικές συνδέσεις, χωρίς να απαιτείται κωδικός.

“Αυτή η παραλλαγή ransomware μοιάζει με μια δοκιμαστική έκδοση που χρησιμοποιείται για την εμπορευματοποίηση των malware kits για τους εγκληματίες του κυβερνοχώρου, επειδή η control server διεπαφή δεν προστατεύεται”, σημείωσε ο Fernando Ruiz, εμπειρογνώμονας ασφάλειας της Intel McAfee. “Η McAfee Labs ενημέρωσε τους ιδιοκτήτες των χτυπημένων servers και ζήτησε να κατεβάσουν την κακόβουλη υπηρεσία”, πρόσθεσε.

Η συνολική χαμηλή πολυπλοκότητα του κινδύνου αυτού στηρίζει τις δηλώσεις του Ruiz, γεγονός που σημαίνει πρόκειται για ένα ημιτελές προϊόν, που δεν είναι ακόμη έτοιμο για ευρεία διανομή. Οι απατεώνες θα πρέπει να βελτιώσουν την ρουτίνα κρυπτογράφησης, να αναπτύξουν HTTPS για την C&C επικοινωνία του server και την προστασία του botnet πίνακα ελέγχου με ένα πεδίο σύνδεσης.

elgatο-control-panel

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS