Detekcja zagrożenia
W drugiej połowie września 2017 r. pojawiło się nowe zagrożenie typu ransomware, którego źródło – na podstawie największej liczbie ataków – ustalono w Wietnamie. Pozostałe ogniska pochodziły z Indii, Kolumbii, Turcji oraz Grecji. Początkowo adresaci otrzymywali imitujące korespondencję firmową od ‘Herbalife' lub ogólny e-mail (załącznik nr 1) sfałszowane wiadomości e-mail, które zawierały fikcyjne faktury lub potwierdzenia wykonania płatności.
załącznik nr 1
Wyodrębniono różne wersje szablonów tego ransomware. Zagrożeniem był pusty e-mail z załącznikiem, a wiersze tematu maila różniły się w zależności od nazwy załączonego pliku. Pojawiły się trzy typy tytułów takiego maila, którymi były nazwy załączników (będących spakowanymi plikami) o nazwach: IMG, SCAN oraz JPEG (załącznik nr 2) z numerami.
załącznik nr 2
Zaobserwowano również wersję imitującą wiadomość poczty głosowej, używającą tematu "Nowa wiadomość głosowa [numer telefonu] w skrzynce pocztowej [numer telefonu] z [" numer telefonu "] [<alt numer telefonu>]. Większość tego typu ataków pochodziła z Serbii (załącznik nr 3).
załącznik nr 3
Metoda działania cyberzagrożenia
Analiza zagrożenia wykazała, że używało ono wariantu "Locky" z jednym identyfikatorem. Otwarcie załącznika z wiadomości email powodowało zainfekowanie komputera, a następnie jego zaszyfrowanie. Teoretycznie identyfikatory umożliwiają wymuszenie okupu przez stronę atakującą, która oferuje klucz deszyfrujący, wygenerowany dla konkretnej osoby. Jednak w tej wersji wszyscy poszkodowani posiadali ten sam identyfikator, co oznaczało, że nie było możliwości deszyfrowania, ponieważ przestępca nie był w stanie ich zidentyfikować. Ustalono również, że program sprawdzał także pliki językowe komputera podejrzanego – oznacza to, że w przyszłości może pojawić się globalna wersja tego ataku.
Ewolucja ataku
W pierwszej dobie od momentu zaobserwowania zagrożenia doszło do 27 milionów ataków. Ewoluowały one w ciągu kilku dni, jednak posiadały wspólne cechy, używanie we wszystkich fałszywych adresach e-mail. Najwcześniejsze wersje pochodziły głownie z Wietnamu i Grecji, a także z Indii, Turcji i Kolumbii. W pozostałych krajach odnotowano niską aktywność tego ransomware. Zaobserwowano również e-maile imitujące wiadomości pochodzące ze znanych domen np. brytyjskiego amazon.uk.com, jednak na chwilę obecną nie zauważono większego zagrożenia skierowanego na ten region (załącznik nr 4).
załącznik nr 4
- Nie należy otwierać załączników z maili, nadesłanych od nieznanych lub podejrzanych nadawców
- Jeśli pojawią się uzasadnione wątpliwości, czy wiadomość e-mail jest autentyczna, należy ją zweryfikować, kontaktując się z daną osobą lub firmą telefonicznie albo przez inne używane wcześniej kanały komunikacji.