„Z naszych badań wynika, że grupa stojąca za szkodliwym oprogramowaniem szyfrującym dane (ransomware) wykorzystanym w ataku na metro w San Francisco jest aktywna od września 2016 r. Do głównych celów tego cybergangu należą duże organizacje komercyjne z Arabii Saudyjskiej oraz Stanów Zjednoczonych.
Po wstępnej infekcji przestępcy wykorzystują zmodyfikowaną wersję narzędzia Disk Cryptor – dostępnego publicznie oprogramowania pozwalającego na szyfrowanie zawartości dysków twardych. Ponadto, by zapewnić szkodliwemu narzędziu możliwość przetrwania ponownego uruchomienia zainfekowanego komputera, wykorzystywane jest oprogramowanie służące do przeprowadzania testów penetracyjnych (Mimikatz) oraz dostępny publicznie szkodliwy program o nazwie Pupy RAT. Jak widać — atakujący realizują swoje szkodliwe działania przy użyciu ogólnodostępnych narzędzi.
Szkodliwość i złożoność ataku należy ocenić jako wysoką — w przeciwieństwie do innych gangów wykorzystujących oprogramowanie ransomware, omawiana grupa stosuje narzędzia szyfrujące całe dyski, które nie tylko blokują dostęp do danych, ale także uniemożliwiają ponowne uruchomienie komputera aż do momentu zapłacenia okupu przez ofiarę. Mimo skomplikowania ataku technologie proaktywne wbudowane w rozwiązania Kaspersky Lab skutecznie go wykrywają.
Cyberprzestępcy coraz częściej atakują duże organizacje (zarówno komercyjne, jak i niekomercyjne), ponieważ wiedzą, że mają one bardzo dużo do stracenia, gdy dojdzie do zablokowania dostępu do danych. Mowa tu o szpitalach, organizacjach handlowych, a teraz także o transporcie publicznym. Strategia tych ataków wydaje się być dość oczywista — firmy te mają tak dużo do stracenia, że będą skłonne zapłacić okup za odzyskanie dostępu do danych i komputerów.
W Kaspersky Lab uważamy, że płacenie okupu cyberprzestępcom nie jest dobrym rozwiązaniem — utwierdza ich to w przekonaniu, że ataki są skuteczne i można na nich zarobić, co motywuje do dalszego tworzenia jeszcze bardziej zaawansowanych szkodliwych narzędzi. Zamiast płacić okup zalecamy zgłoszenie sprawy organom ścigania. Aby nie doszło do sytuacji, w której firma lub użytkownik domowy stanie przed wyborem — płacić czy nie płacić, zalecamy regularne tworzenie kopii zapasowych najcenniejszych danych. Kopia taka powinna być przechowywana na nośniku, który nie jest na stałe podłączony do komputera lub firmowej sieci. Warto także rozważyć instalację rozwiązania bezpieczeństwa wyposażonego w funkcje wspomagające walkę z oprogramowaniem ransomware. Dzięki temu potencjalny atak zostanie powstrzymany, zanim cyberprzestępcy zdążą wyrządzić jakiekolwiek szkody”.
Anton Iwanow
Ekspert ds. bezpieczeństwa IT
Źródło: Kaspersky Lab
