Κακόβουλο λογισμικό CryWiper

Οι φορείς απειλών χρησιμοποιούν ένα ολοκαίνουργιο εργαλείο κακόβουλου λογισμικού σε στοχευμένες επιθέσεις εναντίον δημάρχων και δικαστηρίων στη Ρωσία. Η κακόβουλη απειλή παρακολουθείται ως CryWiper από τους ερευνητές της Kaspersky. Πρόσθετες λεπτομέρειες σχετικά με τις εκστρατείες επίθεσης αποκαλύφθηκαν από την υπηρεσία ειδήσεων Izvestia.

Σύμφωνα με τις διαθέσιμες πληροφορίες, το CryWiper αποτελεί απειλή ransomware που αναπτύσσεται ως μέρος μιας επίθεσης με οικονομικά κίνητρα. Η απειλή θα επηρεάσει τα δεδομένα που βρέθηκαν στα συστήματα υπολογιστών που έχουν παραβιαστεί και θα τα αφήσει σε αχρησιμοποίητη κατάσταση. Τα κλειδωμένα αρχεία θα έχουν ".cry" συνημμένο στο αρχικό τους όνομα. Η Izvestia αναφέρει ότι τα θύματα λαμβάνουν ένα σημείωμα λύτρων που απαιτεί την πληρωμή 0,5 BTC (Bitcoin). Με την τρέχουσα συναλλαγματική ισοτιμία του κρυπτονομίσματος τα λύτρα αξίζει περισσότερα από $8500. Τα κεφάλαια αναμένεται να μεταφερθούν στην παρεχόμενη διεύθυνση cryptowallet.

Η ανάκτηση δεδομένων δεν είναι δυνατή

Στην πραγματικότητα, ωστόσο, τα θύματα του CryWiper δεν θα μπορούν να επαναφέρουν τα δεδομένα τους, ακόμα κι αν ανταποκρίνονται στις απαιτήσεις των επιτιθέμενων. Ο λόγος είναι ότι το CryWiper καταστρέφει τα δεδομένα των αρχείων που επηρεάζει. Αυτή η λειτουργία δεν φαίνεται να είναι αποτέλεσμα λανθασμένου προγραμματισμού και είναι αντίθετα μια επιδιωκόμενη συνέπεια της εκτέλεσης του CryWiper. Οι ειδικοί ανακάλυψαν ότι ο αλγόριθμος που χρησιμοποιείται για την καταστροφή των δεδομένων των θυμάτων είναι ο Mersenne Vortex PRNG. Αυτή είναι μια σπάνια χρησιμοποιούμενη επιλογή που βρίσκεται σε λίγες απειλές κακόβουλου λογισμικού, με ένα τέτοιο παράδειγμα είναι το IsaacWiper. Το CryWiper θα μπορούσε επίσης να συνδεθεί με τις απειλές ransomware Xorist και MSIL Agent, καθώς και τα τρία χρησιμοποιούν τις ίδιες διευθύνσεις email για επαφή.

Επιπλέον Λεπτομέρειες

Το CryWiper διαδίδεται ως ένα εκτελέσιμο 64-bit που στοχεύει συστήματα Windows. Η απειλή δημιουργήθηκε χρησιμοποιώντας τη γλώσσα προγραμματισμού C++ και συμμορφωνόταν με την εργαλειοθήκη MinGW-w64 και τον μεταγλωττιστή GCC. Οι ειδικοί στον τομέα της κυβερνοασφάλειας επισημαίνουν ότι η μη χρήση του πιο τυπικού Microsoft Visual Studio είναι μια ασυνήθιστη επιλογή και θα μπορούσε να σημαίνει ότι οι χάκερ που ευθύνονται για την απειλή χρησιμοποιούσαν συσκευές εκτός των Windows.

Η ανάκτηση δεδομένων που επηρεάζονται από υαλοκαθαριστήρες όπως το CryWiper μπορεί να είναι δύσκολη. Αυτός είναι ο λόγος για τον οποίο συνιστάται να δημιουργείτε τακτικά αντίγραφα ασφαλείας και να διατηρείτε ενημερωμένα όλα τα εγκατεστημένα εργαλεία λογισμικού και τις λύσεις ασφάλειας στον κυβερνοχώρο.