Παγκόσμιο «τσουνάμι» κυβερνοεπιθέσεων – «Ομηρία» χιλιάδων υπολογιστών

Παγκόσμιος συναγερμός έχει ξεσπάσει από το κακόβουλο λογισμικό ransomware, το οποίο φαίνεται να εξαπλώνεται σε όλο τον πλανήτη με στόχο περισσότερους από 50.000 υπολογιστές. Το συγκεκριμένο λογισμικό μολύνει τα αρχεία του υπολογιστή και στη συνέχεια απαιτεί χρήματα για την απεμπλοκή τους. Ήδη μπαράζ επιθέσεων από χάκερς σημειώθηκαν στη Βρετανία και στην Ισπανία, θέτοντας τις αρχές σε κόκκινο συναγερμό.

Σύμφωνα με την εταιρεία λογισμικού ασφαλείας Avast μία αύξηση της δραστηριότητας παρατηρήθηκε την Παρασκευή και σε λίγες ώρες έχουν εντοπιστεί περισσότερες από 57.000 επιθέσεις παγκοσμίως. Τα τελευταία στοιχεία αναφέρουν ότι έχουν πληγεί συνολικά υπολογιστές σε 74 χώρες. Ο διευθυντής της Malwarebytes, Adam Kujawa μιλά για μία τεράστια εξάπλωση υπογραμμίζοντας πως «δεν έχω δει κάτι τέτοιο ποτέ».

Η εταιρεία επίσης επισημαίνει πως το κακόβουλο λογισμικό έχει στοχεύσει τη Ρωσία, την Ουκρανία και την Ταιβάν. Πρόκειται για μία αναβαθμισμένη έκδοση του ransomware που για πρώτη φορά εμφανίστηκε τον Φεβρουάριο. O ιός WannaCry από τη στιγμή που εισβάλει σε ένα δίκτυο, αυτοαναπαραγάγεται μόνος του και μεταδίδεται και σε άλλους υπολογιστές.

Παρέλυσαν τα νοσοκομεία της Μ. Βρετανίας

Χάος προκάλεσε στη Μεγάλη Βρετανία η μαζική κυβερνοεπίθεση στα νοσοκομεία. Το ψηφιακό χτύπημα είχε ως αποτέλεσμα να προκληθούν εκτεταμένες δυσλειτουργίες, οι οποίες δημιούργησαν σημαντικά προβλήματα στην περίθαλψη των ασθενών, σύμφωνα με τα βρετανικά ΜΜΕ.

Η μαζική επίθεση μέσω του διαδικτύου και κατά 16 νοσηλευτικών ιδρυμάτων της χώρας είχε ως αποτέλεσμα να σημάνει συναγερμός στο χώρο της υγείας, ενώ οι αρμόδιες κυβερνητικές υπηρεσίες εξέδωσαν οδηγία με την οποία ζητούσαν όλες οι μη επείγουσες δραστηριότητες να αναβληθούν.

«Είμαστε ενήμεροι για ένα περιστατικό ασφάλειας στον κυβερνοχώρο και εργαζόμαστε σε μια απόκριση», δήλωσε εκπρόσωπος του NHS Digital, μιας διεύθυνσης του NHS (Εθνικού Συστήματος Υγείας) που ασχολείται με θέμα πληροφοριακής τεχνολογίας.

Οι διωκτικές αρχές της Μεγάλης Βρετανίας διεξάγουν εκτεταμένη επιχείρηση για να εντοπίσουν τα ψηφιακά ίχνη της κυβερνοεπίθεσης και να μπορέσουν να συλλάβουν τους δράστες.

«Έπειτα από μια φερόμενη ως εθνική επίθεση στον κυβερνοχώρο λαμβάνουμε όλα τα προληπτικά μέτρα που είναι δυνατό προκειμένου να προστατεύσουμε τα τοπικά συστήματα και τις υπηρεσίες του NHS», ανέφερε το NHS του Μερσισάιντ στη βόρεια Αγγλία σε ανάρτησή του στο twitter.

Την ίδια ώρα το Εργατικό Κόμμα της Βρετανίας κάλεσε την κυβέρνηση της Τερέζας Μέι να δώσει εξηγήσεις σχετικά με το πως χάκερ κατάφεραν να εξαπολύσουν κυβερνοεπίθεση με ιό τύπου ‘ransomware’ εναντίον του Εθνικού Συστήματος Υγείας σήμερα (NHS).

«Το περιστατικό υπογραμμίζει τον κίνδυνο για την ασφάλεια των δεδομένων εντός του σύγχρονου συστήματος υγείας και επισημαίνει ότι η ανάγκη εφαρμογής μέτρων ασφαλείας στον κυβερνοχώρο πρέπει να βρίσκεται στην καρδιά των κυβερνητικών σχεδιασμών» επισήμανε ο υπουργός Υγείας της σκιώδους κυβέρνησης των Εργατικών Τζόναθαν Άσγουορθ.

«Η Κυβέρνηση πρέπει να είναι σαφής σχετικά με το τι συνέβη και σχετικά με τα μέτρα που λαμβάνει προκειμένου να μειωθεί η απειλή απέναντι στους ασθενείς» πρόσθεσε ο ίδιος.

Η περαιτέρω χρηματοδότηση του NHS αποτελεί σημαντικό μέρος της εκστρατείας των Εργατικών ενόψει των βουλευτικών εκλογών του επόμενου μήνα.

Κυβερνοεπιθέσεις σε ισπανικές εταιρείες

Ο κολοσσός των τηλεπικοινωνιών Telefonica και πολλές άλλες ισπανικές εταιρείες βρέθηκαν επίσης στο στόχαστρο κυβερνοεπίθεσης όπως έγινε γνωστό από τις ισπανικές αρχές.

Το υπουργείο Ενέργειας της χώρας επισήμανε ότι «επιβεβαίωσε διαφορετικές κυβερνοεπιθέσεις εναντίον ισπανικών επιχειρήσεων», από ένα ιό τύπου «ransomware», που εμποδίζει την πρόσβαση σε αρχεία έως ο χρήστης να καταβάλει λύτρα.

Σε δελτίο τύπου που δημοσιεύτηκε στη Μαδρίτη, το υπουργείο εμφανίζεται καθησυχαστικό:

Η επίθεση επηρέασε μεμονωμένα εξοπλισμούς επεξεργασίας δεδομένων χρηστών που εργάζονται σε διαφορετικές επιχειρήσεις και δεν επηρεάζει την παροχή των υπηρεσιών ούτε τη λειτουργική ασφάλεια του δικτύου ούτε τον χρήστη αυτών των υπηρεσιών.

Η επίθεση «δεν θέτει σε κίνδυνο την ασφάλεια των δεδομένων και δεν πρόκειται για μια διαρροή δεδομένων» επιμένει το υπουργείο Ενέργειας.

Το Εθνικό Κέντρο Κρυπτολογίας (CCN) – τμήμα των υπηρεσιών πληροφοριών που είναι επιφορτισμένες με την ασφάλεια των τεχνολογιών πληροφόρησης- έκανε λόγο για μια «μαζική επίθεση ransomware».

Η επίθεση «πλήττει τα συστήματα Windows κρυπτογραφώντας όλα τους τα αρχεία και τα αρχεία των δικτύων με τα οποία συνδέονται» εξήγησε το CCN.

Η Telefonica επίσης υποχρεώθηκε να κλείσει τους υπολογιστές της στην έδρα της στη Μαδρίτη, είπε στο Γαλλικό Πρακτορείο πηγή από την εταιρεία που δεν θέλησε να κατονομαστεί.

Ο ιός «έπληξε εκατοντάδες υπολογιστές, εδώ, στην έδρα της επιχείρησης» συμπλήρωσε η ίδια πηγή, διαβεβαιώνοντας ότι οι υπηρεσίες προς τους πελάτες της εταιρείας δεν έχουν επηρεαστεί.

Πολλά ισπανικά ΜΜΕ μετέδωσαν νωρίτερα ότι οι υπεύθυνοι της της Telefonica προειδοποίησαν από τα μεγάφωνα τους εργαζομένους για το πόσο επείγον είναι να κλείσουν τους υπολογιστές τους, γεγονός που επιβεβαίωσε η πηγή από την εταιρεία.

 

Και η Ρωσία θύμα των χάκερς

Οι υπολογιστές του ρωσικού υπουργείου Εσωτερικών μολύνθηκαν από το κακόβουλο λογισμικό, σύμφωνα με ανακοίνωση του υπουργείου. «Εκτιμάται ότι έχουν επηρεαστεί περισσότεροι από 1.000 υπολογιστές που λειτουργούν με Windows, ποσοστό που είναι μικρότερο από το 1% του συνολικού αριθμού των υπολογιστών του υπουργείου» ανέφερε η εκπρόσωπος του υπουργείου Irina Volk, σύμφωνα με το Russia Today. Όπως τόνισε η ίδια ο ιός έχει εντοπιστεί και λαμβάνονται μέτρα εξουδετέρωσή του.

Ωστόσο διευκρίνισε ότι «οι servers του υπουργείου δεν έχουν επηρεαστεί καθώς λειτουργούν με διαφορετικά συστήματα».

Την ίδια ώρα ο «γίγαντας» των τηλεπικοινωνιών στη Ρωσία, η Megafon αποκάλυψε ότι έχει επηρεαστεί από τις κυβερνοεπιθέσεις. «Ο ιός εξαπλώνεται παγκοσμίως και απαιτούνται 300 δολάρια για να απελευθερωθεί κάθε υπολογιστή μας που μολύνθηκε από το κακόβουλο λογισμικό» ανέφερε ο εκπρόσωπος της Megafon, Pyotr Lidov στο RT.

Παράλληλα η Microsoft ενημέρωσε ότι παρέχει βοήθεια στους πελάτες της ώστε να αντιμετωπιστεί το πρόβλημα, σύμφωνα με δηλώσεις του εκπροσώπου της εταιρείας. «Η εταιρεία πρόσθεσε εργαλεία ανίχνευσης και προστασίας ώστε να εξουδετερωθεί το κακόβουλο λογισμικό» υπογράμμισε.

Πηγή

 

Advertisements

Ransomware; Μην… ψαρώνετε, υπάρχουν λύσεις

Μια από τις μεγαλύτερες ψηφιακές απειλές σήμερα είναι το ransomware, το κακόβουλο δηλαδή λογισμικό που κρυπτογραφεί τα πολύτιμα δεδομένα μας, προτρέποντάς μας να πληρώσουμε λύτρα για να τα ανακτήσουμε.

Αρκετοί ιδιώτες και οργανισμοί έχουν τα τελευταία χρόνια υποχρεωθεί να καταβάλουν σημαντικά ποσά σε απατεώνες για να μην χάσουν σημαντικά αρχεία. Αλλά αν σας συμβεί κάτι παρόμοιο… μην ψαρώσετε! Κάποτε το ransomware ήταν δυσκολότερο να αντιμετωπιστεί, τώρα όμως υπάρχουν ορισμένες λύσεις που αξίζει να δοκιμάσετε πριν υποκύψετε στους κυβερνοεκβιαστές.

Η ιστοσελίδα No More Ransom είναι το αποτέλεσμα μιας κοινής προσπάθειας των αστυνομικών αρχών της Δανίας, της Europol, της Kaspersky και της Intel. Δημιουργήθηκε για να βοηθήσει και να καθοδηγήσει θύματα επιθέσεων ransomware, παρέχοντάς τους μάλιστα εργαλεία και τεχνογνωσία για να ανακτήσουν τα δεδομένα τους χωρίς να πληρώσουν.

Φυσικά, το website απευθύνεται και στο ευρύτερο κοινό, που ενδιαφέρεται να μάθει πως να προστατευτεί από το ransomware. Επισκεφθείτε το, κάνοντας κλικ εδώ.

Πηγή

Δωρεάν εργαλείο Anti-Ransomware από την Kaspersky Lab

kaspersky_logo

Η Kaspersky Lab, μια από τις μεγαλύτερες εταιρείες στο χώρο της ψηφιακής ασφάλειας, διαθέτει ένα νέο δωρεάν εργαλείο, που μπορεί να βοηθήσει στη θωράκιση ενός συστήματος από αρκετές απειλές ransomware.

Σύμφωνα με την εταιρεία, το δωρεάν εργαλείο Kaspersky Anti-Ransomware μπορεί να λειτουργεί παράλληλα με λογισμικό ασφαλείας που έχουν αναπτύξει άλλες εταιρείες, αποτελώντας ένα συμπληρωματικό μέσο προστασίας, καθώς διαθέτει δυνατότητα ελέγχου της δραστηριότητας στο σύστημα, σε πραγματικό χρόνο.

Η εφαρμογή είναι συμβατή με υπολογιστές που τρέχουν Windows και απευθύνεται πρωτίστως σε μικρές και μεσαίες επιχειρήσεις, που δεν διαθέτουν την τεχνογνωσία ή τους οικονομικούς πόρους για να υιοθετήσουν κορυφαίες λύσεις άμυνας απέναντι σε επιθέσεις εξειδικευμένου κακόβουλου λογισμικού.

Υπενθυμίζουμε ότι η Kaspersky Lab, σε συνεργασία με άλλες εταιρείες και οργανισμούς, υποστηρίζει την ιστοσελίδα “No More Ransom”, που απευθύνεται σε θύματα ransomware, βοηθώντας τα να ανακτήσουν τα αρχεία τους, αλλά και να προστατευτούν από ανάλογες απειλές.

Κατεβάστε το δωρεάν εργαλείο Anti-Ransomware της Kaspersky Lab

Πηγή

84 % των εταιριών θα καταστρεφόταν σε περίπτωση μόλυνσης από ransomware

Πάνω από το ένα τρίτο των εταιριών στο Ηνωμένο Βασίλειο έχει υπάρξει θύμα απαγωγής για λύτρα από χάκερ ή γνωρίζει κάποια εταιρία που το δίκτυο της έχει μολυνθεί από ransomware, αποκαλύπτει νέα έρευνα της ESET.

Η έρευνα, που πραγματοποιήθηκε στο Infosecurity Europe τον Ιούνιο του 2015 σε δείγμα 200 επαγγελματιών του χώρου της ασφάλειας IT, αποκάλυψε επίσης ότι το 84 τοις εκατό των ερωτηθέντων πιστεύει ότι η εταιρία τους θα πληγεί σοβαρά σε περίπτωση μόλυνσης από ransomware. Ωστόσο, το 31 τοις εκατό των ερωτηθέντων παραδέχθηκε ότι αν είχαν μολυνθεί από ransomware δεν θα είχαν άλλη επιλογή από το να πληρώσουν τα λύτρα, διότι, εναλλακτικά, θα έχαναν όλα τα δεδομένα στον υπολογιστή τους.

O Mark James, Ειδικός σε θέματα ασφαλείας της ESET, σχολιάζοντας τα ευρήματα της έρευνας, σημειώνει: «Το ransomware αποτελεί ένα από τα πιο τρομακτικά είδη malware λόγω της καταστροφικής δύναμής του. Τα αποτελέσματα της έρευνας είναι πολύ ανησυχητικά, καθώς φαίνεται ότι οι επαγγελματίες της ασφάλειας εξακολουθούν να μην καταλαβαίνουν πώς να διαχειριστούν σωστά το ransomware. Το μεγαλύτερο πρόβλημα σε όλες τις μολύνσεις ransomware είναι η απόφαση για το πώς θα αντιμετωπίσουμε την επίθεση. Οι επιλογές μας είναι περιορισμένες: είτε πληρώνουμε τα λύτρα, το οποίο σίγουρα δεν συνιστάται, ή προχωρούμε σε επαναφορά από backup, ωστόσο, ανάλογα με το πόσο συχνά πραγματοποιείται back up των αρχείων, αυτό μπορεί να σημαίνει και απώλεια πολλών δεδομένων.»

Το ransomware μπορεί να συγκαταλεχθεί μεταξύ των πιο τρομακτικών μορφών εισβολής ενός υπολογιστή. Η επίθεση περιλαμβάνει την αντικατάσταση της οθόνη του υπολογιστή από ένα μήνυμα που φαίνεται να έχει σταλθεί από την αστυνομία, απαιτώντας χρήματα, ή ένα μήνυμα που λέει ότι τα αρχεία έχουν χαθεί, εκτός αν καταβληθούν λύτρα οπότε θα ξεκλειδωθούν. Τον τελευταίο χρόνο οι εγκληματίες του κυβερνοχώρου έχουν αναπτύξει μια σειρά από νέες παραλλαγές ransomware που έχουν επιτρέψει σε χάκερ να κρυπτογραφήσουν τα δεδομένα των θυμάτων τους, γεγονός που έχει αναγκάσει περισσότερους ανθρώπους να πληρώσουν τα λύτρα.

«Αν πέσετε θύμα μόλυνσης και όλα τα αρχεία σας είναι κρυπτογραφημένα  τότε έχετε μόνο μία επιλογή, θα πρέπει να προχωρήσετε σε αποκατάσταση από το backup. Με το τεράστιο όγκο των λύσεων που διατίθενται σήμερα το backup είναι πραγματικά πολύ φθηνό και μπορεί κυριολεκτικά να σώσει την επιχείρησή σας. Κάθε εταιρεία που πληρώνει τα λύτρα χρηματοδοτεί εγκληματίες, και εφόσον για τους χάκερ το ransomware αποδεικνύεται κερδοφόρο, θα καταβάλουν μεγαλύτερη προσπάθεια να δημιουργούν ακόμη πιο εξελιγμένες παραλλαγές, που θα είναι όλο και πιο δύσκολο να καταπολεμηθούν», ολοκληρώνει ο James.

Πηγή

«Έσπασε» το TorrentLocker: η Ευρώπη θύμα επίθεσης του Ransomware που ζητάει Bitcoin

Η ομάδα ερευνητών της ESET® στον Καναδά ανέλυσε ένα ευρέως εξαπλωμένο ransomware, γνωστό ως TorrentLocker, η εξάπλωση του οποίου άρχισε στις αρχές του 2014. Η πιο πρόσφατη παραλλαγή του malware έχει μολύνει τουλάχιστον 40 χιλιάδες συστήματα κατά τους τελευταίους μήνες, στοχεύοντας κυρίως Ευρωπαϊκές χώρες. Η ομάδα ερευνητών της ESET έχει ετοιμάσει εκτεταμένη έκθεση, στην οποία παρουσιάζει όλα τα ευρήματα της έρευνας και της ανάλυσης της συμπεριφοράς του malware καθώς και σχετικό blog post στο WeLiveSecurity.com.

Η τηλεμετρία της ESET ανιχνεύει το TorrentLocker ως Win32/Filecoder.Dl. Το όνομά του προέρχεται από το κλειδί μητρώου που χρησιμοποιούσε το κακόβουλο λογισμικό για να αποθηκεύσει πληροφορίες ρυθμίσεων με το ψεύτικο όνομα «Bit Torrent Application», όταν ξεκίνησε να εξελίσσεται αυτό το filecoder.

Αυτή η οικογένεια ransomware κρυπτογραφεί έγγραφα, εικόνες και άλλα αρχεία στη συσκευή του χρήστη και απαιτεί λύτρα για να επιτρέψει την πρόσβαση στα αρχεία του.  Η τυπική υπογραφή του είναι η πληρωμή λύτρων αποκλειστικά με crypto-currency – μέχρι 4,081 Bitcoin ( €1.180 ή $1.500). Στις τελευταίες εκστρατείες, το TorrentLocker έχει μολύνει 40 χιλιάδες συστήματα και έχει κρυπτογραφήσει 280 εκατομμύρια έγγραφα στοχεύοντας σε χώρες κυρίως της Ευρώπης, αλλά και σε χρήστες σε Καναδά, Αυστραλία και Νέα Ζηλανδία. Από αυτές τις περιπτώσεις, μόνο 570 θύματα πλήρωσαν τα λύτρα, που απέφεραν στους δράστες πίσω από το TorrentLocker το ποσό των 585.401 αμερικάνικων δολαρίων σε Bitcoin.

Στην έκθεση των ερευνητών της ESET έχουν εξεταστεί και αναλυθεί επτά διαφορετικοί τρόποι εξάπλωσης του TorrentLocker. Σύμφωνα με τα δεδομένα της τηλεμετρίας της ESET, τα πρώτα ίχνη αυτού του malware χρονολογούνται το Φεβρουάριο 2014. Το malware εξελίσσεται διαρκώς, με την πιο προηγμένη του εκδοχή να βρίσκεται σε λειτουργία από τον Αύγουστο 2014.

«Πιστεύουμε ότι οι δράστες πίσω από το TorrentLocker είναι οι ίδιο με εκείνους πίσω από την οικογένεια του banking trojan Hesperbot» δήλωσε ο Marc-Etienne M. Léveillé, ερευνητής της ESET από τον Καναδά. «Επιπλέον, με το TorrentLocker, οι δράστες αντιδρούν στις online εκθέσεις ξεπερνώντας τους Δείκτες Παραβίασης που χρησιμοποιούνται για την ανίχνευση του κακόβουλου λογισμικού και τροποποιώντας τον τρόπο χρήσης των Προτύπων Κρυπτογράφησης AES (Advanced Encryption Standards) από λειτουργία Counter mode (CTR) σε λειτουργία CBC (Cipher block chaining) κατόπιν αποκάλυψης μίας μεθόδου εξαγωγής των κωδικών.» Αυτό σημαίνει ότι τα θύματα του TorrentLocker δεν μπορούν να ανακτήσουν πλέον όλα τα έγγραφα τους συνδυάζοντας ένα κρυπτογραφημένο αρχείο και το απλό του κείμενο για να ανακτήσουν τον κωδικό

Πώς εξαπλώνεται η μόλυνση; Το θύμα λαμβάνει ένα spam e-mail με κακόβουλο έγγραφο και οδηγείται να ανοίξει το συνημμένο αρχείο – συνήθως επισυνάπτονται απλήρωτα τιμολόγια, ενημερώσεις για παρακολούθηση πακέτων ή απλήρωτες κλήσεις. Η αξιοπιστία του e-mail αυξάνεται καθώς προσομοιάζει σε ιστότοπους επιχειρήσεων ή του κράτους του τόπου του θύματος. Ανοίγοντας το spam μήνυμα, αν το θύμα πατήσει το link που οδηγεί στη σελίδα λήψης ενώ δεν βρίσκεται σε μία από τις χώρες που έχουν δεχτεί την επίθεση, θα ανακατευθυνθεί στη σελίδα αναζήτησης της Google. «Για να ξεγελάσουν τα θύματα, οι δράστες έχουν εισάγει εικόνες CAPTCHA δημιουργώντας μία ψευδή αίσθηση ασφάλειας» εξηγεί ο Léveillé.

Περισσότερες πληροφορίες σχετικά με το ransomware TorrentLocker είναι διαθέσιμες στο website της ESET με νέα για την ασφάλεια WeLiveSecurity.com. Τα πρώτα στοιχεία για την έρευνα και το malware βρίσκονται στο blog: http://www.welivesecurity.com/2014/12/16/torrentlocker-racketeering-ransomware-disassembled-by-eset-experts/. Η αναλυτική έκθεση βρίσκεται εδώ: http://www.welivesecurity.com/wp-content/uploads/2014/12/torrent_locker.pdf

Πηγή

Τα περιστατικά Cryptolocker Ransomware αυξάνονται

Η Inter Engineering εφιστά την προσοχήστον αυξανόμενο αριθμό περιστατικών με τον ιό Cryptolocker ransomware.

 Ο ιός Cryptolocker είναι ο τελευταίος και ο πιο επικίνδυνος ιός της οικογένειας ransomware. Ο Cryptolocker εμφανίστηκε μέσα στο 2013 αλλά τελευταία τα περιστατικά αυξάνονται, και αναμένουμε να συνεχίσουν να αυξάνονται στο άμεσο μέλλον.

Συμπεριφορά:

Όταν ο ιός Cryptolocker μολύνει ένα σύστημα, κρυπτογραφεί τα αρχεία τα οποία βρίσκει σε τοπικούς και δικτυακούς δίσκους. Αποτέλεσμα είναι τα περιεχόμενά τους να καθίστανται μη προσπελάσιμα από τους χρήστες. Ο Cryptolocker εμφανίζει ένα μήνυμα με το οποίο απαιτεί την πληρωμή λύτρων ώστε να παραδοθεί το κλειδί αποκρυπτογράφησης το οποίο θα επιτρέψει την πρόσβαση στο περιεχόμενό τους.

Εξάπλωση:

O Cryptolocker έχει παρατηρηθεί να εξαπλώνεται κυρίως μέσω e-mail ως επισυναπτόμενο τύπου zip. Το αρχείο zip περιέχει ένα εκτελέσιμο με εικονίδιο PDF ώστε να ξεγελάσει τον χρήστη να πιστεύει ότι ανοίγει αρχείο PDF.

Άλλοι μέθοδοι εξάπλωσης που έχουν παρατηρηθεί, συμπεριλαμβάνουν drive-by-downloads. Στις περιπτώσεις drive-by-download ο χρήστης μολύνεται αυτόματα με την επίσκεψη σε μολυσμένες ιστοσελίδες. Ο ιός εκμεταλλεύεται ευπάθειες που βρίσκει στον περιηγητή, τις εφαρμογές ή το λειτουργικό σύστημα του χρήστη ώστε να εγκατασταθεί αυτόματα και χωρίς να το καταλάβει ο χρήστης.

Πολύ πιθανό να δούμε τον ιό να εξαπλώνεται και με άλλα μέσα όπως botnets και εφαρμογές κοινωνικής δικτύωσης.

Προστασία από τον Cryptolocker:

Η προστασία από τον Cryptolocker και παρόμοιους ιούς τύπου ransomware δεν διαφέρει από την προστασία από τους περισσότερους ιούς:

–           Antivirus: Επιλέξτε μία λύση anti-virus υψηλών προδιαγραφών η οποία θα έχει την δυνατότητα ανίχνευσης γνωστών αλλά και αγνώστων (zero-hour) ιών. Σε εταιρικά περιβάλλοντα σιγουρευτείτε ότι όλα τα μηχανήματα είναι πάντα προστατευμένα και το anti-virus πάντα ενημερωμένο με τις τελευταίες ανανεώσεις.

–           Ανανεώσεις Ασφάλειας (Patching): Να φροντίζετε ώστε το λειτουργικό σας σύστημα,οι εφαρμογές Microsoft αλλά και οι εφαρμογές τρίτων να είναι πάντα ανανεωμένες με τις τελευταίες ενημερώσεις ασφάλειας.

–           Πολιτική Ασφάλειας στην περίμετρο για εκτελέσιμα αρχεία: Σε εταιρικά περιβάλλοντα είναι καλή πρακτική να απαγορεύεται στους χρήστες να λαμβάνουν εκτελέσιμα αρχεία μέσω e-mail. Τοποθετείστε λύσεις ασφάλειας στην περίμετρο που θα σας επιτρέψουν να επιβάλλετε μία τέτοια πολιτική και να επιτρέψετε την λύψη εκτελέσιμων αρχείων μόνο στο απαραίτητο προσωπικό (π.χ. τμήμα τεχνικής υποστήριξης).

Επαναφορά από επιθέσεις του Cryptolocker:

Ακόμη και εάν καταφέρετε αν καθαρίσετε τα συστήματά σας από τον ιό Cryptolocker, τα αρχεία σας θα παραμείνουν κρυπτογραφημένα και το περιεχόμενό τους απροσπέλαστο. Ο καλύτερος τρόπος για να επανέλθετε μετά από ένα περιστατικό με τον Cryptolocker είναι να έχετε διαθέσιμα αντίγραφα ασφαλείας των αρχείων σας.

Όπως και στις περισσότερες των περιπτώσεων, τα μέτρα πρόληψης είναι και τα αποτελεσματικότερα. Υλοποιήστε οπωσδήποτε μία στρατηγική λήψης αντιγράφων ασφάλειας στα πιο σημαντικά δεδομένα και παρακολουθήστε την εκτέλεση και την επιτυχία των εργασιών αυτών. Η λύση backup θα πρέπει να έχει τα παρακάτω χαρακτηριστικά:

–           Προστασία αντιγράφων: Τα αντίγραφα ασφαλείας δεν θα πρέπει να είναι άμεσα προσπελάσιμα από το δίκτυό σας (π.χ. μέσω δικτυακών δίσκων). Δεν θα σας ωφελήσουν τα αντίγραφα ασφάλειας εάν και αυτά έχουν κρυπτογραφηθεί από τον Cryptolocker. Τα Online backup γίνονται όλο και πιο δημοφιλή ως μέσο ʽαπομόνωσηςʼ των αντιγράφων ασφαλείας από τις απειλές  που μπορεί να βρίσκονται στο εταιρικό δίκτυο.

–           Εκδόσεις: Η λύση backup θα πρέπει να σας επιτρέπει να κρατάτε διάφορες ʽεκδόσειςʼ των αρχείων καθώς αυτά αλλάζουν. Εάν τα κρυπτογραφημένα αρχεία περάσουν στα backup, πριν γίνει αντιληπτή η επίθεση του Cryptolocker, θα θέλετε να επαναφέρετε τις τελευταίες ʽκαθαρέςʼ εκδόσεις που είναι διαθέσιμες.

Πως μπορεί να σας βοηθήσει η InterEngineering:

Εκτός των συμβουλών και της τεχνικής υποστήριξης, η Inter Engineering διαθέτει και ένα portfolio με μία μεγάλη γκάμα λύσεων ασφάλειας η οποία σας επιτρέπει να προστατεύσετε το περιβάλλον σας είτε είστε απλός χρήστης, μικρή επιχείρηση ή μεγάλος οργανισμός. Μερικές λύσεις είναι:

Fsecure Antimalware

H F-Secure προσφέρει μία πλήρες σύνολο λύσεων anti-malware για σχεδόν οποιοδήποτε περιβάλλον.

Η F-Secure προστατεύει από τον Cryptolocker και παρόμοιες επιθέσεις με κορυφαίες και πρωτοποριακές τεχνολογίες όπως:

–           DeepGuard: Προληπτικός μηχανισμός ανίχευσης (zero-hour), ο οποίος βρίσκει άγνωστους ιούς με βάση την συμπεριφορά τους και πληροφορία που συλλέγεται από το ʽCloudʼ.

–           SoftwareUpdater: Επιτρέπει την σάρωση και την εφαρμογή ανανεώσεων ασφάλειας (patch) μέσω κεντρική διαχείρισης. Καλύπτει ανανεώσεις Windows, εφαρμογών Microsoft αλλά και εφαρμογές τρίτων όπως browsers, εφαρμογές PDF, και άλλες.

–           ExploitProtection: Προστατεύει από τις ευπάθειες του browser καθώς οι χρήστες σας περιηγούνται στο Internet.

και πολλές άλλες …

Περισσότερες Πληροφορίες: http://www.inter-datasecurity.com/el/vendor/f-secure

Πηγή

Malware κρατά «ομήρους» τα δεδομένα 250.000 PC

Του Κώστα Δεληγιάννη

Σύμφωνα με ειδικούς του Dell Secureworks, οι δημιουργοί του κακόβουλου λογισμικού Cryptolocker ζητούν λύτρα κυρίως σε Bitcoin.

Οι ειδικοί του τμήματος Secureworks της Dell αποκάλυψαν σε έκθεσή τους μια άκρως επικίνδυνη μορφή ransomware, δηλαδή κακόβουλου λογισμικού που μπλοκάρει τον υπολογιστή, ζητώντας από τον κάτοχό του να πληρώσει «λύτρα» για να αποδεσμεύσει το μηχάνημα. Ο λόγος για το Cryptolocker, το οποίο προσβάλλει αποκλειστικά PC με λειτουργικό Windows, βάζοντας κυρίως στο στόχαστρο χρήστες σε αγγλόφωνες χώρες.

Το Cryptolocker δεν είναι βέβαια το πρώτο ransomware – για παράδειγμα, τον Μάιο του 2012 είχε εμφανισθεί στην Ελλάδα ο «ιός της αστυνομίας». Σε αυτή την περίπτωση, ωστόσο, ο τρόπος που το κακόβουλο λογισμικό «κλειδώνει» τα αρχεία κάνει εξαιρετικά δύσκολη την παράκαμψή του και την αφαίρεσή του από το μηχάνημα.

Πιο συγκεκριμένα, το malware χρησιμοποιεί πολύ ισχυρή κρυπτογράφηση, αποθηκεύοντας το «κλειδί» σε έναν απομακρυσμένο server. Μόλις προσβάλλει ένα PC, αρχίζει να κρυπτογραφεί όλα τα αποθηκευμένα δεδομένα (π.χ. φωτογραφίες, βίντεο, έγγραφα), γνωστοποιώντας την ύπαρξή του στον χρήστη μόνον όταν έχει πλέον κλειδώσει κάθε είδους αρχείο.

Τότε, ζητά από τον χρήστη να πληρώσει ένα ποσό για «λύτρα» μέσα σε συγκεκριμένο χρονικό διάστημα. Σε αντίθετη περίπτωση, όπως γράφει το μήνυμα που εμφανίζεται στην οθόνη του υπολογιστή, θα καταστρέψει το «κλειδί», ουσιαστικά καθιστώντας τα αρχεία μη προσπελάσιμα διά παντός.

Το Cryptolocker έκανε την εμφάνισή του στις αρχές Σεπτεμβρίου, αρχικά με σκοπό να μολύνει υπολογιστές εταιρικών στελεχών – καθώς ήταν «κρυμμένος» σε ένα εκτελέσιμο αρχείο μέσα σε ένα φάκελο με συμπιεσμένα αρχεία, ο οποίος προερχόταν δήθεν από κάποιο πελάτη της εταιρείας. Στη συνέχεια, τα θύματά του επεκτάθηκαν και στους απλούς χρήστες, με το κακόβουλο λογισμικό να διαδίδεται μέσω «μολυσμένων» link σε e-mail.

Με αυτό τον τρόπο, υποστηρίζουν οι ειδικοί της Dell, μέχρι τα μέσα Δεκεμβρίου είχε «μολύνει» 250.000 PC, σε πρώτη φάση ζητώντας τα «λύτρα» σε δολάρια, ευρώ και σε bitcoin ενώ, στη συνέχεια, αποκλειστικά στο «εικονικό» νόμισμα. Η έκθεση εκτιμά πως, από τα θύματα, τουλάχιστον το 0,4% των χρηστών έχουν πληρώσει το προκαθορισμένο ποσό, χωρίς ωστόσο να είναι ξεκάθαρο αν έτσι οι κάτοχοι των «μολυσμένων» PC ανέκτησαν τα αρχεία τους.

Πηγή