Ransomware: Trash Panda i powrót NoCry
2023-10-23 13:41
Trash Panda © fot. mat. prasowe
Eksperci z FortiGuard Labs donoszą o pojawieniu się nowych typów ransomware. Nowe zagrożenia to Trash Panda oraz nowy wariant NoCry. Zostały określone jako "wysoce niebezpieczne" przede wszystkim dla użytkowników Microsoft Windows. Oto wnioski z analizy tych cyberzagrożeń.
Przeczytaj także: Atak ransomware: płacić okup czy nie płacić?
Ataki ransomware uznawane są za najbardziej dochodową formę działania cyberprzestępców. Według raportu International Data Corporation z 2021 roku, przeciętna wysokość żądanego okupu to ok. ćwierć miliona dolarów. Najwyższa zanotowana kwota wyniosła zaś 4,5 miliona dolarów i została opłacona przez firmę CWT Global w 2020 roku. Schemat ataku ransomware zazwyczaj wygląda podobnie – polega na zaszyfrowaniu plików na zainfekowanym urządzeniu, a następnie domaganiu się przez cyberprzestępców okupu za udostępnienie klucza deszyfrującego. W taki sposób funkcjonują również warianty NoCry oraz TrashPanda.Nie tylko motyw finansowy – nietypowe żądania twórców Trash Panda
Pierwsze przypadki użycia do ataku złośliwego oprogramowania Trash Panda zostały zarejestrowane na początku sierpnia 2023 roku. Po zainfekowaniu urządzenia program wprost informuje użytkownika za pomocą wiersza poleceń, że jego pliki są właśnie szyfrowane. Trash Panda zmienia również tapetę na pulpicie. W przypadku tego rodzaju ransomware cyberprzestępcy nie domagają się opłaty za przywrócenie danych. Stawiane przez nich warunki są bardziej enigmatyczne, z wyraźnym politycznym zabarwieniem. Mowa w nich m.in. o uwolnieniu członków rodziny autorów oprogramowania. Ofiara ma ograniczony czas na podjęcie kontaktu z napastnikami, a jeśli tego nie zrobi, jej pliki zostaną trwale usunięte. Oprogramowanie Trash Panda jest obecnie poddawane analizie na podstawie próbek zgromadzonych w Stanach Zjednoczonych oraz Czechach.
fot. mat. prasowe
Trash Panda
Po zainfekowaniu urządzenia program wprost informuje użytkownika za pomocą wiersza poleceń, że jego pliki są właśnie szyfrowane. Trash Panda zmienia również tapetę na pulpicie.
NoCry – kryptowaluty i fałszywe przedsiębiorstwo
Pierwsze wzmianki o NoCry pojawiły się w kwietniu 2021 roku. Generalną, możliwą do zaobserwowania tendencją w postępowaniu twórców tego oprogramowania jest dystrybucja jego wariantów za pośrednictwem komunikatora Telegram. Najnowsza wersja NoCry była jednak hostowana na stronie internetowej, której adres URL zawierał nazwę prywatnego banku z Indii. Wszystko wskazuje więc, że w tym przypadku cyberprzestępcy polegali na dezorientowaniu swoich ofiar i dawaniu im fałszywego przekonania, iż pobierają plik z bezpiecznego, legalnego źródła.
Po uruchomieniu NoCry, oprogramowanie szyfruje pliki na zainfekowanym urządzeniu, dodaje do nich rozszerzenie „.rcry”, a następnie wyświetla żądanie okupu. Wyróżniającym aspektem działania autorów NoCry jest waluta, w jakiej opłacony miałby zostać okup, czyli USDT-TRC20 (Tether). Jest to jedna z popularniejszych kryptowalut wśród tzw. stablecoinów. Ich cechą charakterystyczną jest powiązanie z konkretną, tradycyjną jednostką pieniężną, pozwalające na wymianę 1:1. W przypadku USDT jest to dolar amerykański.
Podobnie jak w trakcie ataku Trash Panda, na urządzeniu ofiary NoCry wyświetla się wiadomość z informacją, że zostało ono zainfekowane. Ma ona ograniczony czas na zapłacenie przestępcom wskazanej przez nich kwoty. W przypadku opóźnienia wysokość okupu wzrośnie, a jego nieopłacenie wiąże się z ryzykiem trwałego usunięcia danych. W wiadomości umieszczony jest również link prowadzący do strony kalifornijskiego przedsiębiorstwa zajmującego się cyberbezpieczeństwem. Aby skorzystać z usług oferowanych przez firmę, użytkownicy muszą uiścić opłatę w walucie USDT na podany adres portfela. Według analityków z FortiGuard Labs na podstawie tych informacji można przypuszczać, że osoby stojące za NoCry stworzyły fikcyjne przedsiębiorstwo lub stronę internetową, aby zastawić więcej pułapek na nieświadomych użytkowników. Podobnie jak w przypadku Trash Panda, to oprogramowanie również jest obecnie poddawane analizie przy wykorzystaniu próbek ze Stanów Zjednoczonych oraz Malezji.
Czy należy płacić okup?
W przypadku zainfekowania urządzenia złośliwym oprogramowaniem stanowczo odradzane jest płacenie okupu i spełnianie żądań cyberprzestępców. Wiąże się to z faktem, że zapłacenie okupu nie stanowi gwarancji odzyskania zaszyfrowanych danych. Ponadto, przesłanie atakującym pieniędzy daje im informację zwrotną o tym, że obrana taktyka działa, co może skutkować zwiększeniem liczby ataków. Ofiarom ataków ransomware doradza się odwiedzenie oferującej wsparcie strony NoMoreRansom.org, która dostępna jest także w polskiej wersji językowej. Dostępne są na niej narzędzie umożliwiające odszyfrowanie danych zakodowanych przez niektóre rodzaje oprogramowania ransomware. Natomiast jeśli nie oferuje ona dekryptora rozwiązującego dany problem, zaleca się zgłoszenie sytuacji do Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT NASK.
Przeczytaj także:
![Cyberprzestępcy to już nie są "zwykli" hakerzy]( "Cyberprzestępcy to już nie są \"zwykli\" hakerzy [© Focus Pocus LTD - Fotolia.com]")
Cyberprzestępcy to już nie są "zwykli" hakerzy
Cyberprzestępcy to już nie są "zwykli" hakerzy
oprac. : eGospodarka.pl
Więcej na ten temat:
ransomware, ataki ransomware, złośliwe programy, złośliwe oprogramowanie, cyberataki, cyberzagrożenia, ataki hakerów, Trash Panda, NoCry
Przeczytaj także
-
![Polskie firmy nie są liderami cyberbezpieczeństwa]( "Polskie firmy nie są liderami cyberbezpieczeństwa [© Melpomene - Fotolia.com]")
Polskie firmy nie są liderami cyberbezpieczeństwa
-
![Więcej cyberataków na polskie firmy w grudniu 2023]( "Więcej cyberataków na polskie firmy w grudniu 2023 [© Paolese - Fotolia.com]")
Więcej cyberataków na polskie firmy w grudniu 2023
-
![Cyberzagrożenia w 2024 roku: co czeka firmy i użytkowników prywatnych?]( "Cyberzagrożenia w 2024 roku: co czeka firmy i użytkowników prywatnych? [© leowolfert - Fotolia.com]")
Cyberzagrożenia w 2024 roku: co czeka firmy i użytkowników prywatnych?
-
![Fałszywe pożyczki i sextortion. Jak atakowali cyberprzestępcy w I półroczu 2023?]( "Fałszywe pożyczki i sextortion. Jak atakowali cyberprzestępcy w I półroczu 2023? [© pixabay.com]")
Fałszywe pożyczki i sextortion. Jak atakowali cyberprzestępcy w I półroczu 2023?
-
![Bitdefender wykrył 189 odmian ransomware’u w X 2022]( "Bitdefender wykrył 189 odmian ransomware’u w X 2022 [© DD Images - Fotolia.com]")
Bitdefender wykrył 189 odmian ransomware’u w X 2022
-
![Dzieje cyberprzestępczości: era nowoczesnego ransomware’u]( "Dzieje cyberprzestępczości: era nowoczesnego ransomware’u")
Dzieje cyberprzestępczości: era nowoczesnego ransomware’u
-
![1176 ataków hakerskich na polskie firmy tygodniowo. Ransomware szczególnym zagrożeniem]( "1176 ataków hakerskich na polskie firmy tygodniowo. Ransomware szczególnym zagrożeniem")
1176 ataków hakerskich na polskie firmy tygodniowo. Ransomware szczególnym zagrożeniem
-
![Czy epidemia ransomware już się rozpoczęła?]( "Czy epidemia ransomware już się rozpoczęła?")
Czy epidemia ransomware już się rozpoczęła?
-
![Trojany i fałszywe aktualizacje ogromnym zagrożeniem w Polsce]( "Trojany i fałszywe aktualizacje ogromnym zagrożeniem w Polsce")
Trojany i fałszywe aktualizacje ogromnym zagrożeniem w Polsce
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)
Rusza budowa osiedla Craft Zabłocie w Krakowie
