Stručnjaci iz kompanije Kaspersky Lab otkrili su novu verziju RAA ransomware-a, malver virusa koji je u potpunosti napisan na Javascript-u. Ovaj novi trojan virus napada žrtve tako što im isporučuje .zip arhivu koja sadrži maliciozan .js file. Ažurirana verzija ovog virusa takođe je u stanju da izvrši oflajn enkripciju bez potrebe da traži ključ od komandnog servera. Stručnjaci iz kompanije Kaspersky Lab smatraju da će se napadači fokusirati na korporativne mete koristeći ovu verziju malvera.
RAA ransomware se pojavio kao nova pretnja u junu 2016. godine, i bio je prvi rasomware virus koji je u potpunosti bio napisan na Javascript-u. U avgustu, stručnjaci iz kompanije Kaspersky Lab otkrili su novu verziju ovog virusa. Kao i njegov prethodnik, i ovaj malver je bio distribuiran i-mejl komunikacijom, ali je maliciozni kod bio sakriven u .zip arhivi koja je bila zaštićena lozinkom. Kriminalci su koristili ovu meru kako bi prevarili antivirusna rešenja, budući da je mnogo zahtevnije ispitati sadržaj zaštićene arhive.
Prilikom analiziranja ovih i-mejl poruka, stručnjaci iz kompanije Kaspersky Lab zaklučili su da su kriminalci u znatno većoj meri targetirali kompanije u odnosu na krajnje korisnike: maliciozne i-mejl poruke su obično sadržale informacije o zakasnelim isplatama ili dugovanjima dobavljača. Kako bi poruke izgledale još uverljivije, kriminalci su žrtvama slali obavešteja da je .zip arhiva u prilogu poruke bila zaštićena lozinkom zbog bezbednosnih razloga (lozinka za arhivu je bila priložena na dnu i-mejl poruke), kao i da je dodatno zaštićena asimetričnom enkripcijom. Ova izjava nema nikakav kredibilitet kod korisnika koji su obazrivi i razumeju se u IT tehnologije, ali može biti pogubna za lakoverne žrtve.
Dalji proces infekcije je relativno sličan sa prethodnom verzijom RAA ransomware-a. Infekcija se sprovodi tako što žrtva otvori .js fajl, koji zatim pokreće maliciozni proces. Kako bi skrenuo pažnju žrtve, trojan virus pruikazuje tekstualni dokument koji sadrži nasumično odabran skup karaktera. Dok žrtva pokušava da razume šta se događa, RAA virus u pozadini već sprovodi enkripciju korisničkih podataka i samog uređaja. Na kraju procesa, ransomware program prikazuje poruku na početnom ekranu koja obaveštava korisnika da su svi njegovi fajlovi šifrovani i pod novom .locked ekstenzijom.
U poređenju sa prethodnom verzijom, ključna razlika je u tome što RAA ne mora da komunicira sa komandnim i kontrolnim serverima kako bi izvršio enkripciju dokumenata na žrtvinom računaru. Umesto da traži ključ za enkripciju od komandnog i kontrolnog servera, trojan virus ga generiše, šifruje i čuva na inficiranoj mašini. Nakon što žrtve plate otkup, kriminalci traže od njih da im pošalju šifrovan ključ, koji im oni zatim vraćaju (dešifrovan), zajedno sa softverom za otključavanje podataka. Na ovaj način, malver može da vrši enrkipciju uređaja i dokumenata čak i kada računar nije povezan na internet.
Međutim, žrtve ovog virusa se suočavaju sa dodatnim problemom. Prilikom inficiranja računara, korisnici „dobijaju“ i Pony trojan virus, koji ima sposobnost da krade korisničke lozinke, uključujući i lozinke sa korporativnih i-mejl naloga. Posedovanje ovih lozinki podrazumeva da kriminalci mogu dalje da distribuiraju malver preko inficiranih i-mejl naloga, čime im je znatno lakše da prevare žrtve i nateraju ih da poveruju da su maliciozni i-mejlovi zapravo autentični. Pomoću korporativnih i-mejl naloga žrtava, kriminalci mogu distribuirati malver ka svim poslovnim kontaktima. Na taj način, kriminalci mogu da odaberu osobu od koje će imati korist i sprovedu ciljani napad na njen računar.
„Smatramo da je RAA trojan virsu kreiran kako bi targetirao korporativne korisnike. Kombinacija ransomware virusa i „kradljivca“ lozinki daje kriminalcima veliku moć, i povećava njihove šanse da iznude novac. Pre svega, oni zarađuju novac preko otkupa koje kompanije plaćaju za svoje informacije, ali i preko korisničkih podataka koje dobijaju preko Pony Trojan virusa. Pored toga, budući da nova verzija RAA ransomware virusa dozvoljava oflajn enkripciju, ozbiljnost ove pretnje dodatno dobija na značaju”, izjavio je Fedor Sinitsin (Fedor Sinitsyn), viši malver analitičar u kompaniji Kaspersky Lab.
Kako bi umanjile rizik od infekcije, kompanije bi trebalo da primenjuju neke od sledećih saveta:
- Korišćenje stabilne bezbednosne tehnologije korporativnog kvaliteta i antivirus rešenja, vodeći računa da su sve dodatne opcije uključene.
- Edukacija zaposlenih o obazrivosti na internetu.
- Konstantno ažuriranje softverskih rešenja na poslovnim računarima.
- Redovno sprovođenje bezbednosnih provera.
- Obraćanje pažnje na ekstenzije pre njihovog otvaranja. Potencijalne opasne ekstenzije su: .exe, .hta, .wsf, .js, etc.
- Obazrivost prilikom proveravanja i-mejl poruka od nepoznatih osoba.
Prema rezultatima istraživanja o korporativnim IT bezbednosnim pretnjama u 2016. godini, 18 odsto kompanija doživelo je makar jedan ransomware napad u prethodnih 12 meseci. Kako bi pomogla preduzećima da dodatno umanje rizik od ransomware infekcija, kompanija Kaseprsky Lab takođe je predstavila i besplatan Anti-Ransomware alat za poslovne korisnike.
U ovom trenutku, RAA ransomware je uglavnom distribuiran među ruskim korisnicima, budući da je poruka za otkup napisana na ruskom jeziku. Međuim, postoji velika verovatnoća da će kriminalci proširiti ovaju virus na globalni nivo. Proizvodi kompanije Kaspersky Lab detektuju sve poznate modifikacije RAA ransomware virusa i Pony trojan virusa sa sledećim nazivima: Trojan-Ransom.JS.RaaCrypt, Trojan-PSW.Win32.Tepfer.