Πρόσφατες ανακαλύψεις για παραλλαγές του LockerGoga, ένα είδος ransomware που στοχεύει βιομηχανικά συστήματα, έχουν αποδείξει πως οι πληρωμές λύτρων φαίνεται να είναι μια πτυχή και όχι ο πραγματικός σκοπός του συγκεκριμένου κακόβουλου λογισμικού.
Το κακόβουλο λογισμικό εντοπίστηκε πρόσφατα στο επίκεντρο μιας επίθεσης εναντίον της Norsk Hydro. Η εταιρεία, παραγωγός αλουμινίου, μολύνθηκε με ένα στέλεχος του κακόβουλου λογισμικού το οποίο κλείδωσε τα συστήματά του και απαίτησε λύτρα. Αυτή η απαίτηση δεν έγινε δεκτή.
Αντ ‘αυτού, η Norsk Hydro ζήτησε βοήθεια και η Microsoft, μεταξύ άλλων, ανταποκρίθηκε.
Ωστόσο, η εταιρεία αναγκάστηκε να μεταβεί σε μη αυτοματοποιημένες διαδικασίες και δεν μπόρεσε να αποκτήσει πρόσβαση στις παραγγελίες πελατών μέχρι να αποκατασταθούν τα αντίγραφα ασφαλείας.
Το LockerGoga είναι ένα από τα πολλά είδη κακόβουλου λογισμικού που έχουν επιτεθεί σε βιομηχανικά συστήματα. Παρόμοιο του το Industroyer, κακόβουλο λογισμικό το οποίο η ESET λέει ότι είναι «ειδικά σχεδιασμένο για επιθέσεις στο ηλεκτρικό δίκτυο» και ήταν υπεύθυνο για το προσωρινό κλείσιμο του ηλεκτρικού δικτύου στο Κίεβο της Ουκρανίας το 2016.
Σύμφωνα με ερευνητές της ερευνητικής ομάδας Securonix Threat Research, οι παραλλαγές του LockerGoga έδωσαν μια πρώτη εικόνα για στις δυνατότητες του κακόβουλου λογισμικού – καθώς και κάποια παράξενα στοιχεία προγραμματισμού που δυσχεραίνουν την αποπληρωμή λύτρων.
Σε μια δημοσίευση την Τρίτη, η Securonix δημοσίευσε μια λεπτομερή έκθεση σχετικά με τις δυνατότητες των στελεχών του LockerGoga που δραστηριοποιούνται σήμερα.
Ο φορέας μόλυνσης του LockerGoga δεν έχει επαληθευτεί, αλλά σε πολλές περιπτώσεις μολύνσεων των επιχειρήσεων, είναι πιθανό τα μηνύματα ηλεκτρονικού “ψαρέματος” να αντιπροσωπεύουν το αρχικό στάδιο μόλυνσης. Οι ερευνητές λένε ότι τα αρχεία Microsoft Word ή RTF που περιέχουν ενσωματωμένες, κακόβουλες μακροεντολές είναι αρκετά ύποπτα.
Τα κακόβουλα αρχεία υπογράφονται με έγκυρα πιστοποιητικά τα οποία επιτρέπουν την παράκαμψη των παραδοσιακών μέτρων ασφαλείας. Το ransomware χρησιμοποιεί πολλαπλά πιστοποιητικά (CAs) για να υπογράψει το λογισμικό – Alisa Ltd., Kitty Ltd, Sectigo και Mikl Limited – και ορισμένες παραλλαγές του κακόβουλου λογισμικού έχουν εξοπλιστεί με δυνατότητες taskkill για να απενεργοποιούν τα συστήματα προστασίας από ιούς. Άλλα έχουν επίσης τη δυνατότητα να διαγράφουν ακόμα και τις διαδικασίες των Windows.
Μόλις ένα σύστημα μολυνθεί με το LockerGoga, ορισμένες διεργασίες θα μετακινήσουν τα κακόβουλα αρχεία στο δίκτυο χρησιμοποιώντας το πρωτόκολλο Microsoft Server Message Block (SMB), ενώ άλλες έχουν παρατηρηθεί να χρησιμοποιούν τις υπηρεσίες διαχείρισης Active Directory για τους ίδιους σκοπούς.
Το κακόβουλο λογισμικό ξεκινάει τότε τις ενέργειες του. Το LockerGoga εστιάζει στην κρυπτογράφηση αρχείων με δημοφιλείς επεκτάσεις, όπως τα αρχεία .doc, .xml, .ppt και .pdf χρησιμοποιώντας τα κλειδιά AES-256 και εν συνεχεία χρησιμοποιεί την επέκταση * .LOCKED.
Ο πρωταρχικός σκοπός του κακόβουλου λογισμικού είναι να μολύνει και να κρυπτογραφήσει. Ωστόσο, μερικές παραλλαγές του LockerGoga περιέχουν περίεργο προγραμματισμό που μπορεί να δυσκολέψει τα θύματα του να πληρώσουν τα λύτρα.
Σε ορισμένες περιπτώσεις, το κακόβουλο λογισμικό θα αλλάξει τους κωδικούς πρόσβασης διαχειριστή και θα κλειδώσει τα θύματα από το σύστημά τους χρησιμοποιώντας το logoff.exe.
Ο Oleg Kolesnikov, Διευθυντής της Έρευνας Απειλών του Securonix δήλωσε:
“Ένας από τους λόγους για τους οποίους το LockerGoga ήταν τόσο επιθετικό κατά της Norsk Hydro ήταν το μέγεθος της εταιρείας. Η μόλυνση πολλών συστημάτων με την αντιγραφή του ransomware στον κοινόχρηστο κατάλογο επηρέασε ολόκληρο τον οργανισμό.”
