Το τελευταίο διάστημα έχει παρατηρηθεί σε ευρωπαϊκό επίπεδο έξαρση του φαινομένου εγκατάστασης κακόβουλων λογισμικών, τύπου ransomware, σε διάφορους ηλεκτρονικούς υπολογιστές τα οποία προβαίνουν στην κρυπτογράφηση των αρχείων του χρήστη. Αυτή τη φορά, πρόκειται για παραλλαγές του πολύ επικίνδυνου κακόβουλου λογισμικού “Thanos Ransomware”, το οποίο με ελάχιστες τροποποιήσεις από τους δημιουργούς τους, μεταλλάσσεται και διανέμεται με τον παραδοσιακό τρόπο.
Συγκεκριμένα, το κακόβουλο αυτό λογισμικό, διανέμεται μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου και έχει την μορφή καμπάνιας διάδοσης κακόβουλων συνημμένων αρχείων Microsoft Excel, συνήθως με την μορφή παράδοσης συνημμένου/ων που αφορούν τιμολόγια ή έγγραφα επιστροφής φόρου, τα οποία περιέχουν το malware. Για να εξασφαλιστεί η εκτέλεση του ransomware payload, οι εισβολείς δίνουν εντολή στους στόχους να κατεβάσουν τα συνημμένα στους υπολογιστές τους και να τα εκτελέσουν. Σχετικό δείγμα μηνύματος που ακολουθεί.
“Λάβετε υπόψη ότι για τεχνικούς λόγους το έγγραφο του Excel δεν εμφανίζεται σωστά σε κινητές συσκευές”, αναφέρουν τα email. “Σας ζητάμε να κατεβάσετε το τιμολόγιο στον υπολογιστή σας και να το ανοίξετε.”
Μόλις το πρόγραμμα κατέβει στους υπολογιστές των θυμάτων, γίνεται εκκίνηση ενός payload του Thanos ransomware που συνοδεύεται από ενσωματωμένη κλοπή αρχείων και αυτόματη εξάπλωση. Σύμφωνα με το Recorded Future, τα έγγραφα που κλέβει το Thanos ransomware από προεπιλογή είναι «.docx», «.xlsx», «.pdf» και «.csv».
Το Thanos χρησιμοποιεί το πρόγραμμα PSExec για να κατεβάσει το ransomware που μπορεί να εκτελεστεί σε υπολογιστές που θα κρυπτογραφηθούν χρησιμοποιώντας κρυπτογράφηση AES-256. Μετά την κρυπτογράφηση, το ransοmware προειδοποίησε τις εταιρείες/θύματα στην Ευρώπη ότι δέχτηκαν εισβολή και τους ενημέρωσαν μέσω ενός σημειώματος ότι πρέπει να πληρώσουν bitcoin αξίας 250 ευρώ.
Σε καμία περίπτωση, οι παραλήπτες τέτοιων μηνυμάτων ηλεκτρονικού ταχυδρομείου δεν πρέπει να προβαίνουν στο άνοιγμα ή/και την εκτέλεση τέτοιων αρχείων, ειδικά όταν αυτά προέρχοναι από άγνωστα αποστολέα, ούτε να προβαίνουν στη διαδικασία πληρωμής του ποσού ή να απαντήσουν και να διαπραγματευτούν μαζί με τον αποστολέα. Τέτοια μηνύματα να διαγράφονται άμεσα. Ο συγκεκριμένος τρόπος δράσης αποτελεί μια διαχρονική τακτική των διαφόρων παραβατών του διαδικτύου, οι οποίοι εκμεταλλευόμενοι διάφορες καταστάσεις, σε συνδυασμό με την άγνοια, προβαίνουν στην εγκατάσταση τέτοιων λογισμικών.
Το Γραφείο Καταπολέμησης Ηλεκτρονικού Εγκλήματος της Αστυνομίας, προτρέπει το κοινό να είναι ιδιαίτερα προσεκτικό, ειδικά κατά την λήψη οποιασδήποτε αλληλογραφίας, να μην προβαίνει στην ανάγνωση και εκτέλεση επισυνημμένων αρχείων, ιδιαίτερα όταν αυτά προέρχονται από άγνωστους. Επίσης, συστήνεται η εγκατάσταση λογισμικών προστασίας από επιθέσεις τύπου ransomware.
Σχετικές πληροφορίες για μέτρα προστασίας μπορείτε να βρείτε στην ενότητα "Συμβουλές" της ιστοσελίδα μας.
Το Γ.Κ.Η.Ε. είναι στην διάθεση του κοινού ή εταιρειών για αναφορά καταγγελίας και το κοινό καλείται να επισκέπτονται την ιστοσελίδα του Γραφείου Καταπολέμησης Ηλεκτρονικού Εγκλήματος cyberalert.cy και την ιστοσελίδα της Αστυνομίας www.police.gov.cy στο πλαίσιο cybercrime, για αναφορά.