(Aktualizované o 23:55)
Bezpečnostný výskumník a etický heker Vitali Kremez v nedeľu na svojom Twitteri informoval o novom type malvéru, ktorý zneužíva jeho meno.
Podľa analytika Williama Thomasa ide o wiper, ktorý zablokuje prístup k počítaču obete tým, že prepíše hlavný spúšťací záznam (MBR) z harddisku.
Zatiaľ nie je známe, ako presne sa šíri. Objavil sa ale v hrách, produktoch od Adobe či mapách, ktoré zaznamenávajú šírenie nového koronavírusu. Známe prípady pochádzajú z Indonézie, Španielska a Turecka.
Na rozdiel od ransomvérových útokov, autor tohto nástroja po zablokovaní počítača od obete nepožaduje žiadne peniaze. Naopak, v odkaze, ktorý po sebe zanechá, ju len vyzýva, aby sa s Kremezom skontaktovala pomocou Twitteru a zakúpila si bezpečnostné riešenia od firmy SentinelOne, v ktorej Kremez pracuje.
https://twitter.com/BushidoToken/status/1249254880386129921
Zlý vtip?
Portál Bleeping Computers odhalil aj ďalšiu verziu tohto wiperu s názvom SentinelOne Labs Ransomware. Ide zrejme o nástroje zo skupiny MBRLockers, ktoré sa prednedávnom začali objavovať aj v súvislosti s novým koronavírusom. V tomto prípade autori používajú na ich stiahnutie trójsky kôň Glupteba. Cieľom je zdá sa len pobaviť sa na svojich obetiach.
Našťastie pre ne, niektoré druhy MBRLockers boli chybné a pôvodné MBR záznamy sa dali obnoviť pomocou stlačenia kláves CTRL+ALT+ESC. Výskumníkom sa však nepodarilo získať vzorku malvéru, a preto nevedia s istotou povedať, či budú podobné riešenia fungovať aj v tomto prípade.
File from https://t.co/47kOkUUuQJ:
— 3xp0rt (@3xp0rtblog) April 12, 2020
Adobe+Illustrator+CS6+Full+Crack+With+Serial+Keygen+{Latest+2019}+Free-RTMD-AEIuk17nlgAA7xoCAFVBFwASANdJposA.exe:https://t.co/f9SCr5nRNm
It's "Glupteba loader". Glupteba is using to install other viruses on infected PCs.
V minulosti doména štátnych aktérov
Podľa výskumného tímu IBM X-Force využívali medzi rokmi 2010 až 2018 wipery a iné deštruktívne malvéry primárne štátni aktéri na presadzovanie svojich záujmov či poškodzovanie geopolitických protivníkov. Tieto nástroje si obľúbil napríklad Irán, ktorý so svojim Shamoonom napádal energetické spoločnosti z Blízkeho východu.
Kyberzločinci však začali využívať túto formu útokov až koncom roka 2018, a to v kombinácii s ransomvérmi ako LockerGoga a MegaCortex.
„Alternatívne, zločinci môžu tiež použiť wiper a deštruktívne útoky viac impulzívnejšie než strategicky, aby potrestali obeť, pokiaľ sa cítia poškodení.“
(VK)