Το #OpJerusalem2019 campaign είναι το νέο cyberattack μέσω του Jcry ransomware που επιτίθεται στους χρήστες των Windows κρυπτογραφώντας τα αρχεία τους και ζητώντας λύτρα!
Το #OpJerusalem2019 campaign ξεκίνησε με μια κυβερνοεπίθεση κατά της ισραηλινής κυβέρνησης και των ιδιωτικών ιστοτόπων, όπως η Coca-Cola, η ToysRUs, η McDonald’s.
Μια ανώνυμη ομάδα hackers παραβίασε εκατοντάδες ιστότοπους και κατέστρεψε σχεδόν 1 εκατομμύριο ισραηλινές ιστοσελίδες που ανήκουν σε μερικές από τις κορυφαίες μάρκες.
Στόχος των επιτιθέμενων ήταν “να σβήσουν το Ισραήλ από το Διαδίκτυο” σε ένδειξη διαμαρτυρίας για τη συμπεριφορά της ισραηλινής κυβέρνησης στη σύγκρουση Ισραήλ-Παλαιστίνης.
Υπάρχουν διάφοροι φορείς επίθεσης που χρησιμοποιούνται από τους κυβερνοεγκληματίες, συμπεριλαμβανομένων των website defacements, denial-of-service distributed attacks (DDoS) και της εκμετάλλευσης τρωτών σημείων τρίτων plug-ins.
Η επίθεση #OpJerusalem στοχεύει κυρίως τους χρήστες των Windows μολύνοντας τους με το JCry ransomware το οποίο διανέμεται μέσω defaced ιστοτόπων.
Ένα σφάλμα ασφαλείας που υπάρχει στο nagich.co.il plugin, φόρτωσε τον κακόβουλο κώδικα JavaScript που παραβιάζει τους ιστότοπους και επιτρέπει στους επιτιθέμενους να εκμεταλλευτούν και να θέσουν σε κίνδυνο τα δεδομένα των ιστοσελίδων.
Μόλις οι hackers καταφέρουν να παραβιάσουν τις ιστοσελίδες, στέλνουν το κακόβουλο javascript που με την σειρά του ενεργοποιεί το εξής κακόβουλο Adobe update μήνυμα το οποίο ζητάει από τους χρήστες να κάνουν κλικ στο “update”.
Με το κλικάρισμα ενεργοποιείται άμεσα το κακόβουλο αρχείο “flashplayer_install.exe” από το hxxp://185.163.47.134.
Το πρώτο exe. περιέχει 3 archives, ένα εκ των οποίων είναι υπεύθυνο για την κρυπτογράφηση των αρχείων του χρήστη.
Μετά την επιτυχημένη κρυπτογράφηση προστίθεται και η νέα επέκταση αρχείου (.jcry).
Τέλος, το ransomware θα δημιουργηθεί και θα εμφανιστεί με την ονομασία JCRY_Note.html. Ο hacker απαιτεί την πληρωμή 500 $ σε bitcoin.
Για την πληρωμή των λύτρων και την αποκρυπτογράφηση των αρχείων, οι hackers παρέχουν ένα recovery link το οποίο κάνει redirect στον Tor όπου και βρίσκεται η διεύθυνση του πορτοφολιού και το μοναδικό κλειδί αποκρυπτογράφησης.
Με την απόκτηση του κλειδιού, οι χρήστες ανακτούν τα αρχεία τους.
