Противостоять программам-вымогателям, атакующим секторы образования и здравоохранения
В отчете, опубликованном 24 августа, исследователи из компании Proofpoint, занимающейся кибербезопасностью, рассказали о своих выводах о новой программе-вымогателе, появившейся в том же месяце. Названная программой-вымогателем Defray, в настоящее время она не получила широкого распространения, вместо этого сосредоточившись на конкретных локализованных целях, особенно в секторах здравоохранения и образования. Название Defray происходит от имени хоста сервера управления и контроля (C&C) «defrayable-listings[.]000webhostapp[.]com», обнаруженного во время первой атаки.
Proofpoint отметил в своем отчете характер атаки программ-вымогателей Defray, по крайней мере, то, что известно в настоящее время, поскольку это является более или менее совершенно новым для сообщества InfoSec. Программа-вымогатель Defray распространяется небольшими кампаниями, которые запускаются через вложения документов Microsoft Word в электронные письма. Электронные письма, по крайней мере до сих пор, представляют собой целевые фишинговые атаки, ориентированные на конкретную жертву, будь то отдельное лицо или группа лиц в списке рассылки. Жертвы находятся либо в Соединенном Королевстве, либо в Соединенных Штатах, но, как и в случае с большинством программ-вымогателей, в случае успеха кампании географические цели расширятся.
Если пользователь попадется на удочку и запустит программу-вымогатель (содержащуюся в файле.exe) в документе Word, Defray начнет массовое шифрование файлов. Кроме того, как отмечает Proofpoint, пользователь увидит следующее сообщение через файл.txt:
Спрос на 5000 долларов в биткойнах кажется высоким, но авторы программ-вымогателей со временем стали более наглыми. Как отмечает Proofpoint в отчете:
Записка о выкупе… соответствует недавней тенденции относительно высоких требований о выкупе; в данном случае 5000 долларов. Тем не менее, участники предоставляют адреса электронной почты, чтобы жертвы потенциально могли договориться о меньшем выкупе или задать вопросы, и даже зайти так далеко, что рекомендовали BitMessage в качестве альтернативы для получения более своевременных ответов. В то же время они также рекомендуют организациям сохранять автономные резервные копии для предотвращения заражения в будущем.
О Defray еще многое предстоит узнать, так как это «новичок в мире» в игре с программами-вымогателями. Proofpoint, как и другие исследователи, заявили, что они будут продолжать отслеживать программы-вымогатели, чтобы увидеть, останутся ли атаки небольшими, а также станет ли программа-вымогатель доступна для покупки через Даркнет.
В то же время будьте осторожны с любыми электронными письмами, которые кажутся законными, но просят вас открыть вложенные файлы.
Flickr/CafeCredit.
https://www.cafecredit.com/