Na podniky útočí nová verze ransomwaru RAA, varují analytici
Společnost Kaspersky Lab objevila novou verzi ransomwaru RAA. Trojan je svým obětem doručován e-mailem, ke kterému je připojen nebezpečný soubor s příponou .js. Aktualizovaná verze je schopná zašifrovat data offline, aniž by potřebovala heslo příkazového serveru.
RAA se objevil v červnu a je prvním ransomwarem, který je kompletně napsaný v JScriptu. V srpnu našli experti Kaspersky Lab novou verzi, která je stejně jako ta předchozí distribuována pomocí e-mailu. Tentokrát je ale škodlivý kód ukryt v heslem chráněné příloze, kterou je zazipovaný soubor. Kybernetičtí zločinci zavedli toto opatření především proto, aby oklamali AV řešení, pro které je těžší prozkoumat obsah zaheslovaného archivu.
Podle Kaspersky Lab podvodníci raději cílí na firmy než na běžné uživatele, a to pomocí nebezpečných e-mailů, které informují o nezaplacených platbách dodavatelům. Útočníci dodávají komunikaci důvěryhodnost zmínkou, že z bezpečnostních důvodů je přiložený soubor zaheslovaný (heslo je poskytnuto na konci e-mailu) a navíc je chráněný asymetrickým šifrováním. Toto prohlášení může znít uživatelům, kteří se zajímají o svoji bezpečnost, směšně, důvěřivé oběti se ale nechají přesvědčit.
Další postup útoku je podobný tomu u předchozí verze RAA ransomwaru. Oběť otevře soubor .js, který spustí celý škodlivý proces. Trojan ukazuje podvodný textový dokument, který obsahuje náhodnou kombinaci písmen. Tím se mu podaří zmást svou oběť. Zatímco se napadený uživatel snaží přijít na to, o co se jedná, RAA na pozadí kóduje soubory uložené v počítači. Nakonec ransomware na ploše vytvoří poznámku o výkupném a všem zašifrovaným souborům dá novou příponu .locked. Další špatnou zprávou je, že oběti společně s RAA obdrží i trojan Pony, který je schopný ukrást hesla všech e-mailových klientů včetně těch korporátních a poslat je útočníkovi.
Zdroj: Kaspersky Lab TZ
