זן חדש של כופרות תוקף באוקראינה ובפולין
חוקרי מיקרוסופט חשפו כופרה חדשה, המכונה Prestige, שלדבריהם "לא מתאימה לפרופילים של אף אחת מ-94 הקבוצות שאחריהן מיקרוסופט עוקבת באזור, "מה שהופך אותה לאחת מהכופרות המדאיגות במיוחד"
נחשף זן חדש של כופרות, המכונה Prestige – אשר פועל בלא תלות בקבוצות פריצה ידועות, והמתמקד במתקפות על ארגונים ברחבי אוקראינה ופולין.
מרכז מחקר האיומים של מיקרוסופט (Microsoft Threat Intelligence Center – MSTIC), זיהה את הכופרה החדשה בראשונה ב-11 באוקטובר, כאשר זו הופעלה כנגד חברות ממגזרי התעשייה, התחבורה והלוגיסטיקה – בשורה של מתקפות, שכולן התרחשו בתוך שעה אחת.
בניגוד למסעות תקיפה של כופרות המכוונות לממשל האוקראיני ולשירותים ציבוריים, נראה כי Prestige מופנית רק כנגד עסקים. שחקן האיום שמאחורי הכופרה טרם זוהה, אך חוקרי מיקרוסופט ציינו כי נמצאו קווי דמיון בין פעילותה של הכופרה החדשה לאלה של גורמי איום הפועלים בחסות רוסיה. אחד מקווי הדמיון הוא בזהות משותפת של קורבנות שנפגעו מהנוזקה HermeticWiper.
החוקרים של הענקית מרדמונד ממשיכים לבחון את וקטורי התקיפה הספציפיים של Prestige, וממה שעולה עד כה הוא שלמפעילי הכופרה היו אישורים פריווילגיים, ברמה גבוהה, ברשתות של הקורבנות. עוד מצאו החוקרים כי הפעלת הכופרה נעשתה בשלוש מתודולוגיות שונות – לשם הגדלת סיכויי ההצלחה של המתקפות.
כמו כמה זנים אחרים של נוזקות, כופרה זו עושה שימוש בתקני הצפנה מתקדמת (AES) כדי להעלים את הקבצים של הקורבנות שלה, ולפגוע בקבצים נוספים. בבלוג של חוקרי מיקרוסופט פורסם מפתח ציבורי מקודד – RSA X509 – המשמש להצפנת כל אחד מהקבצים. הם ציינו כי יש להניח שכל גרסה של הכופרה מגיעה עם מפתח "אישי" משלה, אבל נתון זה עדיין לא אושר.
בטרם ההצפנה, Prestige בונה לעצמה שליטה בספריות הארגון הקורבן, כדי למחוק את הפונקציות הקשורות לניתוב מחדש של קבצים. לאחר מכן, הכופרה מוחקת את קטלוג הגיבוי של המערכת ועותקי גיבוי של הקבצים, וכך מונעת ממשתמשי הארגון הקורבן יכולת להגן על הנתונים בסביבת Windows. לאחר מכן נוצר קובץ טקסט במכשיר של הקורבן, המכיל אזהרה, שלא לנסות לשחזר נתונים שאבדו, לצד הוראות כיצד לשלם את דמי הכופר. לכל הנתונים המוצפנים מצורפת הסיומת '.enc'.
מומחי אבטחה ציינו, כי חומרתה של הכופרה החדשה נובעת משתי סיבות: הזהות הלא ידועה של התוקפים, וכן המטרות של הכופרה. שתי אלו לא מתאימות לאף אחת מ-94 הקבוצות שאחריהן החוקרים עוקבים באזור, "מה שהופך אותה לאחת מהכופרות המדאיגות במיוחד".
"נראה כי שחקני האיום הזדוניים הוסיפו את שרשרת האספקה הפיזית למטרותיהם", אמר אבישי אביבי, מנהל אבטחה בסייפברידג', "ייתכן כי היא מאותתת שמתקפות הסייבר שכוונו לתשתיות קריטיות באוקראינה ובפולין – נכשלו".
תגובות
(0)