Słowacka firma zajmująca się cyberbezpieczeństwem ESET wydała ostrzeżenie i deszyfrator nowego oprogramowania ransomware o nazwie CryCryptor, które podszywa się pod oficjalną aplikację śledzącą przypadki COVID-19 w Kanadzie. Zostało to ogłoszone przez firmę 24 czerwca poprzez publikację na jej stronie internetowej.
ESET zwrócił uwagę, że złośliwe oprogramowanie CryCryptor jest w stanie szyfrować pliki na urządzeniach mobilnych, szczególnie tych z systemem operacyjnym Android.
Firma zajmująca się cyberbezpieczeństwem wyjaśniła, że CryCryptor jest dystrybuowany za pośrednictwem dwóch stron internetowych „pod pozorem oficjalnej aplikacji śledzącej COVID-19 dostarczonej przez Health Canada”. W szczególności Health Canada jest odpowiedzialnym departamentem zdrowia rządu Kanady.
CryCryptor pojawił się zaledwie kilka dni po oficjalnym ogłoszeniu przez rząd Kanady zamiaru wspierania rozwoju ogólnokrajowej aplikacji do dobrowolnego śledzenia o nazwie COVID Alert. Oficjalna aplikacja zostanie wypuszczona do testów w prowincji Ontario w przyszłym miesiącu ”. Lukas Stefanko, ESET.
Zgodnie z tym oświadczeniem badacze ESET przeprowadzili analizę tego nowego oprogramowania ransomware i zauważyli, że gdy byli w stanie go zidentyfikować, poinformowali Kanadyjskie Centrum Bezpieczeństwa Cybernetycznego o tym złośliwym oprogramowaniu. Poinformowali również, że udało im się stworzyć deszyfrator, aby pomóc ofiarom tych hakerów.
Z firmy ESET wyjaśnili, że gdy użytkownik jest ofiarą tego oprogramowania ransomware, złośliwe oprogramowanie szyfruje wszystkie popularne typy plików na urządzeniu mobilnym. Jednak zamiast go blokować, wyświetla plik „readme”, który informuje ofiarę, że ich pliki zostały zaszyfrowane, i zawiera wiadomość e-mail, aby rzekomo skontaktować się z hakerami. Badacze ESET wskazali, że taki plik „readme” jest tworzony dla każdego katalogu z zaszyfrowanymi plikami.
Badacze ESET zauważyli, że udało im się wykryć błąd „Niepoprawny eksport komponentów Androida” w oprogramowaniu ransomware CryCryptor, który pozwolił im stworzyć narzędzie do odszyfrowywania plików dotkniętych tym złośliwym oprogramowaniem:
Z powodu tego błędu każda aplikacja zainstalowana na dotkniętym urządzeniu może uruchomić dowolną wyeksportowaną usługę dostarczaną przez oprogramowanie ransomware. To pozwoliło nam stworzyć narzędzie deszyfrujące, aplikację, która uruchamia funkcję deszyfrowania wbudowaną w aplikację ransomware przez jej twórców. ” Lukas Stefanko, ESET.
Z firmy ESET wyjaśnili, że ich deszyfrator działa tylko dla tej wersji CryCryptor. Wyjaśnili również, że CryCryptor to nowa rodzina oprogramowania ransomware, oparta na silnym otwartym oprogramowaniu GitHub.
CryCryptor ransomware jest oparty na open source na GitHub. Odkryliśmy go tam za pomocą prostego wyszukiwania na podstawie nazwy pakietu aplikacji i kilku ciągów, które wydawały się unikalne ”, wyjaśnia oświadczenie napisane przez Lukasa Stefanko. Po zapoznaniu się z tym naukowcy z ESET poinformowali GitHub o naturze kodu.
Twórcy oprogramowania ransomware typu open source, który nazwał go CryDroid, musieli wiedzieć, że kod zostanie wykorzystany do szkodliwych celów. Próbując ukryć projekt jako badanie, twierdzą, że przesłali kod do usługi VirusTotal. Chociaż nie jest jasne, kto przesłał próbkę, faktycznie pojawił się na VirusTotal tego samego dnia, w którym kod został opublikowany na GitHub. ” Lukas Stefanko, ESET.
Według publikacji naukowcy odrzucili twierdzenie, że projekt przesłany do GitHub był przeznaczony do celów badawczych, ponieważ uznali, że „żaden odpowiedzialny badacz nie opublikuje publicznie narzędzia łatwego w użyciu do szkodliwych celów” – wyjaśniają.
Podobnie pod koniec maja włoska agencja ds. Bezpieczeństwa cybernetycznego AGID-CERT zaalarmowała złośliwe oprogramowanie udające nową aplikację śledzącą koronawirusy uruchomioną we Włoszech. Operatorzy oprogramowania ransomware o nazwie FuckUnicorn skorzystali z pandemii COVID-19 i wiadomości o uruchomieniu rządowej aplikacji do śledzenia spraw o nazwie Immuni w celu schwytania ofiar.
Na początku czerwca Avast, firma zajmująca się cyberbezpieczeństwem, ogłosiła, że między marcem a kwietniem odnotowała 20% wzrost liczby ataków ransomware na całym świecie. Avast zauważył, że zdecydowana większość ataków ransomware została przeprowadzona w marcu, kiedy awaria COVID-19 została ogłoszona globalną pandemią, i że w kwietniu zaczęły wracać do zwykłych rozmiarów.
Polecane zdjęcie autorstwa Gerda Altmanna / pixabay.com
Źródło wiadomości: Bitcoin.es
Dodaj komentarz