Nový wiper zneužíva meno bezpečnostného výskumníka

Doposiaľ sa objavil v Indonézii, Španielsku a Turecku.
Nový wiper zneužíva meno bezpečnostného výskumníka

(Aktualizované o 23:55)

Bezpečnostný výskumník a etický heker Vitali Kremez v nedeľu na svojom Twitteri informoval o novom type malvéru, ktorý zneužíva jeho meno.

Podľa analytika Williama Thomasa ide o wiper, ktorý zablokuje prístup k počítaču obete tým, že prepíše hlavný spúšťací záznam (MBR) z harddisku.

Zatiaľ nie je známe, ako presne sa šíri. Objavil sa ale v hrách, produktoch od Adobe či mapách, ktoré zaznamenávajú šírenie nového koronavírusu. Známe prípady pochádzajú z Indonézie, Španielska a Turecka.

Na rozdiel od ransomvérových útokov, autor tohto nástroja po zablokovaní počítača od obete nepožaduje žiadne peniaze. Naopak, v odkaze, ktorý po sebe zanechá, ju len vyzýva, aby sa s Kremezom skontaktovala pomocou Twitteru a zakúpila si bezpečnostné riešenia od firmy SentinelOne, v ktorej Kremez pracuje.

[tweet https://twitter.com/BushidoToken/status/1249254880386129921 align=”center”]

Zlý vtip?

Portál Bleeping Computers odhalil aj ďalšiu verziu tohto wiperu s názvom SentinelOne Labs Ransomware. Ide zrejme o nástroje zo skupiny MBRLockers, ktoré sa prednedávnom začali objavovať aj v súvislosti s novým koronavírusom. V tomto prípade autori používajú na ich stiahnutie trójsky kôň Glupteba. Cieľom je zdá sa len pobaviť sa na svojich obetiach.

Našťastie pre ne, niektoré druhy MBRLockers boli chybné a pôvodné MBR záznamy sa dali obnoviť pomocou stlačenia kláves CTRL+ALT+ESC. Výskumníkom sa však nepodarilo získať vzorku malvéru, a preto nevedia s istotou povedať, či budú podobné riešenia fungovať aj v tomto prípade.

[tweet https://twitter.com/3xp0rtblog/status/1249358163679285249 align=”center”]

V minulosti doména štátnych aktérov

Podľa výskumného tímu IBM X-Force využívali medzi rokmi 2010 až 2018 wipery a iné deštruktívne malvéry primárne štátni aktéri na presadzovanie svojich záujmov či poškodzovanie geopolitických protivníkov. Tieto nástroje si obľúbil napríklad Irán, ktorý so svojim Shamoonom napádal energetické spoločnosti z Blízkeho východu.

Kyberzločinci však začali využívať túto formu útokov až koncom roka 2018, a to v kombinácii s ransomvérmi ako LockerGoga a MegaCortex.

„Alternatívne, zločinci môžu tiež použiť wiper a deštruktívne útoky viac impulzívnejšie než strategicky, aby potrestali obeť, pokiaľ sa cítia poškodení.“

(VK)