Hvad er Dridex malware?
Dridex er skadelig software (malware), der er rettet mod bank- og finansadgang ved at udnytte makroer i Microsoft Office til at inficere systemer. Når en computer er blevet inficeret, kan Dridex-angriberne stjæle bankoplysninger og andre personlige oplysninger på systemet for at få adgang til en brugers finansielle oplysninger.
Dridex fungerer ved først at ankomme til en brugers computer som en ondsindet spam-e-mail med et Microsoft Word-dokument vedhæftet som bilag til meddelelsen. Hvis brugeren åbner dokumentet, udløser en makro, der er indlejret i dokumentet, i smug en download af Dridex-bankmalwaren, så den først kan stjæle bankoplysninger og derefter forsøge at generere svigagtige finansielle transaktioner.
Dridex er en videreudvikling af Cridex-malwaren, som selv er baseret på ZeuS-malwaren til den trojanske hest ZeuS. Dridex-bankmalwaren spredte sig oprindeligt i slutningen af 2014 via en spamkampagne, der genererede op mod 15.000 e-mails hver dag. Angrebene fokuserede primært på computersystemer i Det Forenede Kongerige.
Den trojanske hest Cridex spreder sig ved at kopiere sig selv til tilknyttede og flytbare drev på inficerede computere. Cridex skaber en bagdør på inficerede systemer, hvilket giver mulighed for at downloade og køre yderligere malware og udføre operationer som f.eks. at åbne falske websteder.
Denne sidstnævnte mulighed gør det muligt for Cridex at opsamle brugernes bankoplysninger på et inficeret system, når brugeren forsøger at besøge og logge ind på et finansielt websted. Cridex vil i al hemmelighed omdirigere brugeren til en bedragerisk version af det finansielle websted og registrere loginoplysningerne, efterhånden som de indtastes.
Er Dridex detekterbar?
Som det har været tilfældet med Emotet-malware, har Dridex også haft mange iterationer. I løbet af det sidste årti har Dridex gennemgået en række funktionsudvidelser, herunder en overgang til XML-scripts, hashing-algoritmer, peer-to-peer-kryptering og peer-to-command-and-control-kryptering. Ligesom Emotet er hver ny version af Dridex et yderligere skridt i det globale våbenkapløb, idet sikkerhedssamfundet reagerer med ny detektion og afbødning”, skrev forskerne.
Det antages, at Dridex fortsat vil se flere variationer. “I betragtning af den samme dags implementering og implementering af ssl-pertcom-domænet den 26. juni og en tendens til at anvende tilfældigt genererede variabler og URL-kataloger, er det sandsynligt, at aktørerne bag denne variant af Dridex vil fortsætte med at ændre indikatorerne i løbet af den nuværende kampagne,” stod der i rapporten.
Lys for enden af tunnelen?
Den 05. december 2019 meddelte FBI, at to russiske statsborgere blev sigtet i en malware-sammensværgelse.
Langt sammen med flere medsammensvorne er Maksim V. Yakubets og Igor Turashev sigtet for en indsats, der inficerede titusinder af computere med en skadelig kode kaldet Bugat. Når først koden, også kendt som Dridex eller Cridex, var installeret, gjorde den det muligt for de kriminelle at stjæle bankoplysninger og føre penge direkte ud af ofrenes konti. Den langvarige ordning involverede en række forskellige kodevarianter, og i en senere version blev der også installeret ransomware på ofrenes computere. De kriminelle krævede derefter betaling i kryptovaluta for at få vigtige data tilbage eller genoprette adgangen til kritiske systemer.
Turashev og Yakubets blev begge tiltalt i Western District of Pennsylvania for bl.a. sammensværgelse med henblik på at begå bedrageri, telesvig og banksvig. Yakubets blev også knyttet til anklager om sammensværgelse til at begå banksvindel udstedt i District of Nebraska, efter at efterforskerne var i stand til at forbinde ham med det anklagede kaldenavn “aqua” fra den sag, som involverede en anden malware-variant kendt som Zeus.
Læs hele artiklen her
Sådan forhindrer du ransomware
Der er en række defensive skridt, du kan tage for at forhindre ransomware-infektion. Disse trin er naturligvis en god sikkerhedspraksis generelt, så hvis du følger dem, forbedrer du dit forsvar mod alle former for angreb:
- Patching – Hold dit operativsystem patchet og opdateret for at sikre, at du har færre sårbarheder at udnytte.
- Application White listing – Du må ikke installere software eller give det administrative rettigheder, medmindre du ved præcis, hvad det er, og hvad det gør. Sørg for at opretholde en liste over godkendte programmer for hele organisationen.
- Anti-virus/malwaretjeneste – brug en tjeneste, der registrerer skadelige programmer som f.eks. ransomware, når de ankommer. Nogle omfatter whitelisting-funktioner, som forhindrer uautoriserede programmer i at blive eksekveret i første omgang.
- Udvid din perimeter, brug en tjeneste til filtrering af e-mail og sociale medier, helst cloudbaseret. Dette vil registrere ondsindede vedhæftede filer og filer, og mange “som Spambrella” scanner også URL’er for ondsindede aktører.
- Vedtag en 3:2:1-tilgang. Opret tre sikkerhedskopier på to forskellige typer medier, og opbevar en kopi sikkert uden for stedet på en enhed, der ikke er forbundet med et netværk eller tilgængelig via internettet
Alt, hvad du behøver at vide om phishing…
Email spoofing: Hvad er det, og hvordan man forhindrer det
Michigan-praksis Brookside ENT lukker dørene efter et ransomware-angreb