Κάποιοι ερευνητές εντόπισαν μια εκστρατεία malspam που στοχεύει γερμανικούς οργανισμούς με δείγματα από την Buran crypto-ransomware οικογένεια.
Στις αρχές Οκτωβρίου, η Bromium παρακολούθησε μια εκστρατεία malspam της οποίας τα email έμοιαζαν με το eFax. Τα emails περιείχαν hyperlinks σε μια σελίδα PHP που εξυπηρετούσε κακόβουλα έγγραφα του Word. Αυτή η τεχνική βοήθησε τα έγγραφα του Word να αποφύγουν την ανίχνευση, καθώς δε χρειάστηκε να περάσουν τη διαδικασία του “email gateway security”.
Κάθε ένα από αυτά τα έγγραφα περιείχε μια macro VBA που, όταν ενεργοποιήθηκε, κατέβαζε ένα εκτελέσιμο αρχείο Buran.
NASA: Θέλει να στείλει αστροναύτες στον Άρη έως το 2035
Γιατί αναβάλλεται η εκτόξευση του Europa Clipper;
Ανακαλύψτε τον Μικροσκοπικό Εξωπλανήτη κοντά στο Άστρο του Μπαρναρντ
Μόλις ενεργοποιήθηκε το ransomware έστειλε ένα αίτημα HTTP GET στο hxxp://geoiptool[.]com προκειμένου να εντοπίσει το σύστημα του θύματος. Έπειτα το αντέγραψε σε άλλο κατάλογο και το μετονόμασε ως “lsass.exe” σε μια προσπάθεια να αποφύγει την ανίχνευση.
Αφού χρησιμοποίησε εντολές για να καθορίσει την ανθεκτικότητα και να διαγράψει αντίγραφα ασφαλείας, η απειλή τροποποίησε το Windows Registry’s Run key, ώστε να επιτρέπεται η εκτέλεση του “lsass.exe” κάθε φορά που κάποιος συνδεθεί στο μολυσμένο σύστημα. Στη συνέχεια, απενεργοποίησε το Windows Error Recovery και το Automatic Startup Repair καθώς και διαγραμμένα backups που έγιναν μέσω της Volume Shadow Copy Service (VSS). Αυτά τα μέτρα, μαζί με ορισμένα πρόσθετα βήματα, όπως η απενεργοποίηση του Windows Event Log service, έθεσαν τα θεμέλια για το ransomware να ξεκινήσει τη διαδικασία κρυπτογράφησης.
Τα δείγματα Buran που παρατηρήθηκαν σε αυτήν την καμπάνια κρυπτογράφησαν τα δεδομένα μολυσμένου συστήματος ανά τύπο αρχείου. Μόλις τελείωναν, εμφανιζόταν ένα μήνυμα για την πληρωμή των λύτρων. Το μήνυμα αυτό έδινε εντολή στα θύματα να επικοινωνήσουν με ένα email και να δώσουν τον ID αριθμό τους έτσι ώστε να μπορούν να λαμβάνουν οδηγίες πληρωμής.
Αυτή η τελευταία εκστρατεία malspam υπογραμμίζει τη συνεχιζόμενη απειλή που θέτει το ransomware σε οργανισμούς.
Oι οργανισμοί θα πρέπει να εξετάσουν το ενδεχόμενο να επενδύσουν σε εκπαίδευση security awareness. Θα πρέπει να χρησιμοποιούν αυτό το πρόγραμμα εκπαίδευσης παράλληλα με άλλα μέτρα, τα οποία περιλαμβάνουν μια ισχυρή στρατηγική επιδιόρθωσης καθώς και ρυθμίσεις anti-spam, οι οποίες βοηθούν στην πρόληψη μολύνσεων ransomware.