Cautare


Acest ransomware infecteaza victimele prin deghizarea sa in software antivirus
10 Mai 2019 Software

Acest ransomware infecteaza victimele prin deghizarea sa in software antivirus

O familie de ransomware de succes care a terorizat organizatiile din intreaga lume a fost actualizata cu un nou truc pentru a pacali victimele sa instaleze malware-ul care blocheaza fisierele: deghizarea sa in software antivirus

Dharma a aparut pentru prima oara in 2016 si ransomware-ul a fost responsabil de o serie de incidente cibernetice high-profile, inclusiv doborarea retelei unui spital din Texas la sfarsitul anului trecut. 

Grupul din spatele Dharma cauta in mod regulat sa isi actualizeze campaniile, pentru a se asigura ca atacurile raman eficiente si au cele mai mari sanse de a obtine rascumparare in schimbul decriptarii retelelor si fisierelor blocate ale sistemelor Windows. 

Acum, atacurile cibernetice au evoluat din nou si cercetatorii in securitate cibernetica din cadrul Trend Micro au detaliat noi modalitati de implementare a Dharma: impachetarea lor intr-o instalare de software antivirus fals. 

La fel ca multe alte campanii ransomware, atacurile Dharma incep cu e-mail-uri phishing. Mesajele pretind ca provin de la Microsoft si ca PC-urile Windows ale victimelor sunt "in pericol" si "corupte" in urma unor "comportamente neobisnuite", solicitand utilizatorilor sa "actualizeze si sa verifice" antivirusul lor prin accesarea unui link de download. 

Daca un utilizator urmeaza acest link, ransomware-ul preia doua download-uri: payload-ul ransomware-ului Dharma si o versiune veche de software antivirus de la compania de securitate cibernetica ESET. 

Cand arhiva cu auto-extragere se executa, Dharma incepe criptarea fisierelor in fundal, in timp ce utilizatorului i se solicita sa urmeze instructiunile de instalare pentru ESET AV Remover - interfata este afisata pe desktop-urile lor si necesita interactiunea cu utilizatorul in timpul procesului de instalare, care actioneaza ca o distragere a atentiei de la activitatea malitioasa. 

Odata ca instalarea este completa, victima se va confrunta cu o nota de rascumparare, prin care i se solicita efectuarea unei plati in criptomoneda in schimbul deblocarii fisierelor. 

"Articolul descrie o practica bine-cunoscuta pentru malware de fi impachetat cu aplicatii legitime. In acest caz, documenteaza Trend Micro, un ESET AV Remover oficial si nemodificat a fost utilizat. Cu toate acestea, orice alta aplicatie ar putea fi folosita in acest mod", a declarat ESET, dupa ce a fost informat despre cercetarea realizata de Trend Micro. 

Desi nu se ridica la amploarea atacurilor precum WannaCry si NotPetya in 2017, ransomware-ul ramane o amenintare la adresa organizatiilor, atacatorii continuand sa dezvolte si sa implementeze noi tactici si variante de malware de blocare a fisierelor. 

"Asa cum demonstreaza noi exemplare Dharma, multi actori malware incearca inca sa imbunatateasca vechile amenintari si sa foloseasca noi tehnici. Ransomware-ul ramane o amenintare costisitoare si versatila", a declarat Raphael Centeno, cercetator de securitate la Trend Micro. 

Pentru a evita sa cada victime ransomware-ului Dharma si altor amenintari similare, cercetatorii recomanda organizatiilor sa adopte o buna igiena a securitatii cibernetice, cum ar fi securizarea gateway-urilor e-mail, asigurarea periodica a fisierelor si pastrarea sistemelor si aplicatiilor actualizate. 

Indicatorii de compromis pentru aceasta campanie Dharma au fost impartasiti in analiza Trend Micro a atacului. 



Info util

Numai 5 producatori de solutii antivirus, inclusiv ESET, au indeplinit criteriile de detectie si dezinfectare solicitate pentru Windows 7.



Newsletter


Adresa mea de email:
Parteneri

Despre noi

Download

Contact

Strada Retezatului nr.5 / Tg.Mures 540 068
tel/fax:0265 265 910 / contact@smartnews.ro

Publicitate