Pozor na novou ransomwarovou kampaň, která cílí na HR oddělení

Ransomware byl kyberbezpečnostním tématem číslo 1 uplynulého roku a zdá se, že nejinak tomu bude i v roce 2017. Novou hrozbou je ransomware GoldenEye, nejnovější varianta ransomwaru Petya. Využívá řadu osvědčených postupů, ale nejvýraznější změnou oproti předchozím verzím je způsob šíření.

Současná kampaň používá k distribuci ransomwaru GoldenEye žádosti o zaměstnání a škodlivý kód maskuje za e-mailovou přílohu. Zaměřuje se proto na oddělení lidských zdrojů, kde je rozkliknutí příloh v e-mailech od potenciálních uchazečů nutností.

E-mail obsahuje krátkou zprávu od údajného uchazeče o zaměstnání a obsahuje dvě přílohy.

První příloha je PDF obsahující průvodní dopis a tento soubor nemá žádný škodlivý obsah. Primárním účelem je uklidnit oběť a vyvolat falešný pocit bezpečí. Druhá příloha je excelový soubor s nebezpečnými makry. Obsahuje obraz květiny se slovem "Loading ..." a doprovodný text, který žádá oběť k povolení obsahu, což umožní spuštění makra.

Jakmile uživatel klikne na "povolit obsah", spustí se kód uvnitř makra a začne proces zašifrování souborů a oběť k nim ztratí přístup. Jakmile jsou všechny soubory zašifrované, GoldenEye zobrazí žádost o výkupné.

Po zobrazení žádosti o výkupné vynutí GoldenEye restart počítače a začne šifrování disku. Tato akce znemožňuje přístup k jakémukoli souboru na pevném disku. Zatímco probíhá šifrování, oběť vidí obrazovku s kontrolou disku, jako to bylo i u předchozích Petya variant.

Můžeme očekávat, že podobné útoky se budou šířit i v dalších jazykových mutacích.

Ochranou jsou moderní preventivní technologie pro extrakci a emulaci hrozeb, jako je například Check Point SandBlast.

Check Point  |  10.1.2017


PředchozíDalší