trojan
Niedawno pisaliśmy, że w rankingu zagrożeń internetowych ransomware ustępuje miejsca koparkom. Zgodnie z tym trendem trojan Rakhni żądający okupu, którego obserwowaliśmy od 2013 roku, dodał do swojego arsenału moduł wykopywania kryptowalut. Co ciekawe, ten lider szkodliwych programów potrafi wybierać, który komponent zainstaluje, w zależności od urządzenia, na którym się znajduje. Nasi badacze sprawdzili, jak działa ten zaktualizowany szkodliwy program i czym grozi taka infekcja.
Nasze produkty wykryły trojana Rakhni w Rosji, Kazachstanie, na Ukrainie, w Niemczech oraz w Indiach. Szkodliwy program jest dystrybuowany głównie poprzez e-maile ze spamem zawierające szkodliwe załączniki. Zbadana przez naszych ekspertów próbka miała postać dokumentu finansowego, co sugeruje, że stojący za tym zagrożeniem cyberprzestępcy są zainteresowani głównie „klientami” korporacyjnymi.
Załącznik w formacie DOCX w wiadomości spamowej zawiera dokument PDF. Jeśli użytkownik zezwoli na edycję i spróbuje go otworzyć, system wyświetli komunikat z zażądaniem wyrażenia zgody na uruchomienie pliku wykonywalnego pochodzącego od nieznanego wydawcy. W ten sposób Rakhni może zacząć działać.
Jak złodziej nocą
Na początku szkodliwy plik PDF wydaje się być przeglądarką dokumentów. Najpierw szkodliwe oprogramowanie wyświetla ofierze wiadomość informującą o błędzie podczas otwierania. Następnie wyłącza ono program Windows Defender i instaluje podrobione certyfikaty cyfrowe. Jeśli takie działanie nie wywoła żadnego alarmu, podejmuje decyzję, co zrobić z zainfekowanym urządzeniem — zaszyfrować pliki i zażądać za nie okupu czy zainstalować koparkę.
Ostatecznie szkodliwy program podejmuje próbę przedostania się na inne komputery znajdujące się w sieci lokalnej. Jeśli pracownicy firmy mają wspólny dostęp do folderu Users na swoich urządzeniach, zagrożenie kopiuje się na nie.
Wykopywać czy szyfrować?
Kryteria wyboru są proste: jeśli szkodliwy program znajdzie na komputerze ofiary folder o nazwie Bitcoin, uruchamia program, który szyfruje pliki (w tym dokumenty pakietu Office, PDFy, obrazy i kopie zapasowe), a następnie żąda zapłacenia za nie okupu w ciągu trzech dni. Szczegółowe informacje dotyczące okupu, w tym dotyczące jego wysokości, cyberprzestępcy obiecują wysłać na pocztę e-mail.
Jeśli na urządzeniu nie znajdują się foldery związane z bitcoinami, a szkodliwy program uzna, że jest ono wystarczająco mocne, aby wykopywać wkryptowalutę, pobierana jest koparka, która ukradkiem generuje w tle tokeny Monero, Monero Original lub Dashcoin.
Nie bądź ofiarą
Aby uniknąć infekcji zagrożeniem Rakhni i nie ściągnąć na firmę kłopotów, uważnie czytaj odbierane wiadomości, zwłaszcza te pochodzące od nieznanych nadawców. Jeśli masz jakiekolwiek wątpliwości, czy otworzyć dany załącznik — nie rób tego. Ponadto zwracaj szczególną uwagę na ostrzeżenia wyświetlane przez system operacyjny: nie uruchamiaj aplikacji pochodzących od nieznanych wydawców, a szczególnie jeśli ich nazwa przypomina popularne programy.
W ochronie firmowych sieci przed szkodliwymi koparkami i programami szyfrującymi warto wdrożyć następujące zasady:
- Przeprowadzaj szkolenia działu odpowiedzialnego za bezpieczeństwo informacji i regularnie sprawdzaj wiedzę pracowników. Jeśli potrzebujesz pomocy w tym zakresie, zgłoś się do nas.
- Wykonuj kopie zapasowe wrażliwych danych na oddzielnym nośniku wymiennym.
- Korzystaj z niezawodnych rozwiązań bezpieczeństwa wykorzystujących analizę behawioralną — na przykład Kaspersky Endpoint Security for Business.
- Regularnie sprawdzaj swoją sieć firmową pod kątem wszelkich anomalii.
Nawet jeśli nie korzystasz z biznesowych rozwiązań od Kaspersky Lab, nie ma powodu narażać danych dla ransomware. Możesz wypróbować nasze specjalne rozwiązanie — Kaspersky Anti-Ransomware Tool — które może rozszerzyć ochronę zapewnianą przez rozwiązania bezpieczeństwa innych firm. W ochronie przed programami żądającymi okupu wykorzystuje ono najnowsze technologie wykrywania zachowań oraz nasze mechanizmy chmurowe.
Porady