Intel Ransomware

חוקרים חשפו זן חדש של תוכנות כופר המכונה Intel Ransomware. תוכנה מאיימת זו חודרת למכשירים, מצפינה את הנתונים המאוחסנים ודורשת כופר בתמורה לפענוח לכאורה של המידע שנפגע.

יש לציין כי קבצים המושפעים מתוכנת הכופר של אינטל עוברים תהליך שינוי שמות. שמות הקבצים המקוריים מתוגברים עם מזהה ייחודי שהוקצה לקורבן, ואחריו '.[intellent@ai_download_file],' ומסתיימים בסיומת '.intel'. כהמחשה, קובץ שכותרתו תחילה '1.jpg' יהפוך לאחר ההצפנה '1.jpg.id-9ECFA93E.[intellent@ai_download_file].intel'.

לאחר השלמת תהליך ההצפנה, הקורבנות נתקלים בפתקי כופר המוצגים הן בחלון מוקפץ והן כקובצי טקסט בשם 'README!.txt'. קבצי טקסט אלו מופקדים בתוך כל תיקיה מוצפנת ועל שולחן העבודה של המערכת. ניתוח של תוכן שטר הכופר מגלה כי תוכנת הכופר של אינטל מכוונת במיוחד לחברות ומשתמשת בטקטיקות סחיטה כפולה. יתר על כן, תוכנית מאיימת זו מזוהה עם משפחת Dharma Ransomware .

תוכנת הכופר של אינטל מונעת מקורבנות לגשת לנתונים שלהם

תוכנת הכופר של Intel מדגימה גישה מקיפה על ידי הצפנת קבצים מקומיים וקבצים משותפים ברשת, בעוד שקובצי מערכת חיוניים לא מושפעים כדי להימנע מהפיכת המערכת ללא תפעולית. יש לציין, היא משתמשת באסטרטגיה למנוע הצפנה כפולה על ידי אי הכללת קבצים שננעלו על ידי תוכנות כופר אחרות. עם זאת, שיטה זו אינה חסינת תקלות, מכיוון שהיא מסתמכת על רשימה מוגדרת מראש שאולי לא תכלול את כל גרסאות הכופר המוכרות.

יתרה מזאת, התוכנה הזדונית של אינטל מפגינה תחכום בפעולתה על ידי סגירת תהליכים הקשורים לקבצים שיכולים להיות פתוחים, כגון קוראי קבצי טקסט ותוכניות מסד נתונים. אמצעי פרואקטיבי זה נועד למנוע התנגשויות בין קבצים הנחשבים "בשימוש", ולהבטיח שהם לא פטורים מהצפנה.

משפחת ה-Dharma של תוכנות הכופר, שאליה שייכת התוכנה הזדונית של אינטל, נוקטת טקטיקות אסטרטגיות לחדירה והתמדה. זה כולל כיבוי חומת האש כדי להקל על חדירה ולהתחמק מזיהוי. בנוסף, טכניקות להבטחת התמדה כוללות:

• • העתקת התוכנה הזדונית לנתיב %LOCALAPPDATA%.

• • רישום זה עם מקשי הפעלה ספציפיים.

• • הגדרת הפעלה אוטומטית של תוכנת הכופר לאחר כל אתחול מחדש של המערכת.

היבט בולט של התקפות הדהרמה הוא הפוטנציאל שלהן לפעולות ממוקדות. התוכניות הקשורות למשפחה זו יכולות לאסוף נתוני מיקום גיאוגרפי, מה שמאפשר חריגים בהתקפות שלהן. יכולת הסתגלות זו מרמזת שלזיהומים עשויים להיות מניעים פוליטיים או גיאופוליטיים, או שהם עשויים להימנע בכוונה מקורבנות שסביר שלא יעמדו בדרישות כופר, במיוחד באזורים עם תנאים כלכליים חלשים.

כדי למנוע עוד יותר את מאמצי ההתאוששות, תוכנת הכופר של Intel עשויה למחוק את עותקי ה-Shadow Volume, מה שיפריע לשחזור של גרסאות קודמות של קבצים. בהתבסס על מחקר מקיף על זיהומים של תוכנות כופר, ניכר כי פענוח ללא התערבות התוקפים הוא בדרך כלל אתגר בלתי עביר.

תוכנת הכופר של אינטל משתמשת בטקטיקות סחיטה כפולה

התוכן בקובץ הטקסט משמש כהתראה קצרה לנפגע, המעיד על כך שהנתונים שלו הוצפנו ונאספו. זה מנחה את הקורבן ליצור תקשורת על ידי שליחת אימייל לתוקפים.

לעומת זאת, ההודעה הקופצת מספקת מידע מפורט יותר על הדבקה בתוכנת הכופר. הוא חוזר על היבטי ההצפנה וגניבת הנתונים, תוך שימת דגש על דחיפות המצב. הודעת הכופר מפרסמת אזהרה קפדנית כי אי יצירת קשר עם פושעי הסייבר תוך 24 שעות או סירוב להיענות לדרישת הכופר יובילו לחשיפת התוכן הגנוב ברשת האפלה או למכירתו למתחרים של החברה של הקורבן.

כדי להדגים אפשרות של שחזור, ההודעה מציעה בדיקת פענוח בחינם שתתבצע על קובץ בודד. הקורבן גם מודיע במפורש כי פנייה לסיוע מחברות הבראה עלולה לגרום להפסדים כספיים נוספים, שכן מתווכים אלה מטיבים בדרך כלל עמלות שמתווספות לסכום הכופר.

עם זאת, נצפה לעתים קרובות כי קורבנות, גם לאחר שנענו לדרישות כופר, אינם מקבלים את מפתחות הפענוח או התוכנה שהובטחו. למרות עמידה בדרישות הכופר, אין הבטחה לשחזור קבצים. כתוצאה מכך, חוקרים ממליצים מאוד לשלם את הכופר, מכיוון שהוא לא רק לא מצליח להבטיח את שליפת התיקים אלא גם מנציח ותומכת בפעילויות פליליות. בנוסף, חיוני להבין שבעוד שהסרת תוכנות כופר יכולה לעצור הצפנה נוספת של נתונים, תהליך ההסרה אינו משחזר אוטומטית קבצים שנפגעו בעבר.

תוכנת הכופר של Intel מציגה את הערת הכופר הבאה כחלון מוקפץ: