Securitate IT: Ransomware-ul Spora creat de profesionisti-noua mare amenintare?
Noul ransomware detine caracteristici puternice de decriptare offline si un nou sistem de plata
Cercetatorii in securitate au descoperit un nou program ransomware denumit Spora, care poate efectua a criptare puternica a fisierelor offline si aduce o serie de „inovatii” la modul de plata a rascumpararii.
Malware-ul a vizat utilizatorii vorbitori de limba rusa pana in prezent, dar autorii sai au creat, de asemenea, o versiune in limba engleza a portalului lor de decriptare, sugerand ca acestia isi vor extinde probabil atacurile catre alte tari in curand.
Spora iese in evidenta, deoarece poate cripta fisiere, fara a fi nevoie sa contacteze un server-comanda si control (cnc) si face acest lucru intr-un mod care permite ca fiecare victima sa aiba o cheie de decriptare unica.
Programele traditionale genereaza o cheie AES (Advanced Encryption Standard) pentru fiecare fisier criptat si apoi cripteaza aceste chei cu o cheie publica RSA generata de un server cnc.
Criptografia cu cheie publica RSA se bazeaza pe perechi de chei formate dintr-o cheie publica si o cheie privata. Oricare ar fi fisierul care este criptat cu o cheie publica poate fi decriptat doar cu cheia privata corespondenta.
Cele mai multe programe contacteaza un server de comanda si control dupa ce au fost instalate pe un computer si solicita generarea unei perechi de chei RSA. Cheia publica este descarcat de pe computer, dar cheia privata nu paraseste niciodata serverul si ramane in posesia atacatorilor. Aceasta este cheia pentru care victimele platesc petru a-I intra in posesie.
Problema existentei unui server de pe internet dupa instalarea ransomware este ca acesta creeaza o legatura slaba pentru atacatori. De exemplu, in cazul in care serverul este cunoscut de catre companiile de securitate si este blocat de un firewall, procesul de criptare nu porneste.
Anumite programe pot efectua criptarea offline, dar folosesc aceeasi cheie publica RSA care este adanc codificata in malware. Partea negativa cu aceasta abordare pentru atacatori este ca un instrument de decriptare dat unei victime va lucra pentru toate victimele, deoarece ele impartasesc, de asemenea, aceeasi cheie privata.
Creatorii Spora au rezolvat aceasta problema, potrivit cercetatorilor de securitate care au analizat rutina de criptare a programului.
Malware-ul contine o cheie publica RSA, dar acest lucru este folosit pentru a cripta o cheie unica AES, care este generata pe plan local pentru fiecare victima. Aceasta cheie AES este apoi utilizata pentru a cripta cheia privata dintr-o pereche public-privat cheie RSA, care este, de asemenea, generata local si unic pentru fiecare victima. In cele din urma, cheia publica RSA a victimei este folosita pentru a cripta chei AES, care sunt folosite pentru a cripta fisiere individuale.
Cu alte cuvinte, creatorii Spora au adaugat o a doua runda de criptare AES si RSA in plus fata de programele ransomware din trecut.
Atunci cand victimele doresc sa plateasca rascumpararea, acestea trebuie sa incarce cheile lor criptate AES pe site-ul de plata al atacatorilor. Atacatorii vor folosi apoi cheia lor RSA privata universala pentru a o decripta si aceasta se va intoarce la victima – cel mai probabil inclusa intr-un instrument de decriptare.
Decriptatorul va folosi aceasta cheie AES pentru a decripta cheia unica RSA privata a victimei, care a fost generata la nivel local, iar cheia va fi apoi utilizata pentru a decripta cheile AES necesare pentru fiecare fisier pentru a recupera fisierele.
In acest fel, Spora poate functiona fara a fi nevoie de un server de comanda si control, evitand eliberarea unei chei principale, care va lucra pentru toate victimele. Cercetatorii de securitate au declarat „Din pacate, dupa evaluarea modului de realizare a criptarii Spora nu exista nici o modalitate de a restaura fisiere criptate fara a avea acces la cheia privata a autorului malware-ului.”
Alt aspect Spora, care o diferentieza de alte operatiuni care solicita rascumpararea este implementarea unui sistem care permite solicitarea de diferite rascumparari pentru diferite tipuri de victime.
Cheia fisierelor criptate pe care victimele trebuie sa o incarce pe site-ul de plata contine, de asemenea, informatii despre identitatea victimei colectate de malware.
Acest lucru inseamna ca, in cazul in care atacatorii lanseaza o campanie de distributie Spora vizand in mod specific intreprinderile, acestea vor fi in masura sa spuna cand victimele acelei campanii vor incerca sa foloseasca serviciul lor de decriptare. Acest lucru le permite sa adapteze in mod automat valoarea de rascumparare pentru consumatori sau organizatii sau chiar pentru victimele in diferite regiuni ale lumii.
Mai mult decat atat, in plus fata de fisierul de decriptare, banda Spora ofera alte „servicii” care sunt taxate separat, cum ar fi „imunitate„, care asigura ca malware-ul nu va infecta din nou un calculator, sau „stergere„, care va elimina, de asemenea, programul dupa decriptarea fisierelor. Acestea ofera, de asemenea, un pachet complet, in cazul in care victima poate cumpara toate cele trei pentru un pret mai mic.
Site-ul de plati in sine este bine conceput si arata profesional. Acesta are optiuni integrate de live chat si posibilitatea de a obtine reduceri. Din ceea ce s-a observat, atacatorii raspund prompt la mesaje.
Toate acestea indica ca Spora este o operatiune profesionala si bine finantata. Valorile de rascumparare observate pana in prezent sunt mai mici decat cele cerute de alte bande, care ar putea indica grupul din spatele acestei amenintari vrea sa se stabileasca rapid.
Pana in prezent, cercetatorii au observant ca Spora se distribuite prin e-mail cu atasamente malitioase care apar ca facturi dintr-un program software de contabilitate popular in Rusia si alte tari vorbitoare de limba rusa. Atasamentele sunt sub forma de .hta (HTML Application),si fisierele contin cod JavaScript rau intentionat.
Pentru mai multe informatii si o oferta personalizata de solutii si de servicii IT, va rugam sa ne contactati.
Sursa: blog.eset.ro