Mikä on Dridex-haittaohjelma?
Dridex on haittaohjelma (haittaohjelma), joka kohdistuu pankki- ja rahoituskäyttöön hyödyntämällä Microsoft Officen makroja järjestelmien tartuttamiseen. Kun tietokone on saanut tartunnan, Dridex-hyökkääjät voivat varastaa pankkitunnuksia ja muita järjestelmässä olevia henkilökohtaisia tietoja päästäkseen käsiksi käyttäjän taloudellisiin tietoihin.
Dridex toimii siten, että se saapuu ensin käyttäjän tietokoneelle haitallisena roskapostiviestinä, johon on liitetty Microsoft Word -asiakirja. Jos käyttäjä avaa asiakirjan, asiakirjaan upotettu makro käynnistää salaa Dridex-pankki-haittaohjelman lataamisen, jolloin se voi ensin varastaa pankkitunnukset ja yrittää sitten luoda petollisia rahoitustapahtumia.
Evolving from Cridex and ZeuS
Dridex on Cridex-haittaohjelman evoluutio, joka puolestaan perustuu ZeuS-troijalainen hevonen -haittaohjelmaan. Dridex-pankkihaittaohjelma levisi alun perin vuoden 2014 lopulla roskapostikampanjan kautta, joka tuotti päivittäin yli 15 000 sähköpostiviestiä. Hyökkäykset kohdistuivat pääasiassa Yhdistyneessä kuningaskunnassa sijaitseviin tietokonejärjestelmiin.
Cridex-troijalainen hevonen leviää kopioimalla itsensä tartunnan saaneiden tietokoneiden liitettyihin ja siirrettäviin asemiin. Cridex luo tartunnan saaneisiin järjestelmiin takaoven, joka mahdollistaa lisähaittaohjelmien lataamisen ja suorittamisen sekä sellaisten toimintojen suorittamisen kuin huijaussivustojen avaamisen.
Tämän jälkimmäisen ominaisuuden ansiosta Cridex voi kaapata tartunnan saaneessa järjestelmässä olevien käyttäjien pankkitunnukset, kun käyttäjä yrittää vierailla rahoitussivustolla ja kirjautua sinne. Cridex ohjaa käyttäjän salakavalasti finanssisivuston petolliseen versioon ja tallentaa kirjautumistiedot sitä mukaa, kun niitä syötetään.
Onko Dridex havaittavissa?
Kuten Emotet-haittaohjelman kohdalla, myös Dridexillä on ollut useita iteraatioita. Viime vuosikymmenen aikana Dridex on kokenut useita ominaisuuksien lisäyksiä, kuten siirtymisen XML-skripteihin, hashing-algoritmeihin, vertaisverkkosalaukseen ja vertaisverkkosalaukseen. Kuten Emotet, jokainen uusi Dridex-versio jäljittää uuden askeleen maailmanlaajuisessa asevarustelukilpailussa, kun tietoturvayhteisö reagoi uusilla havainto- ja torjuntakeinoilla”, tutkijat kirjoittivat.
Todennäköisesti Dridexistä tullaan näkemään jatkossakin lisää variaatioita. ”Kun otetaan huomioon ssl-pertcom-verkkotunnuksen käyttöönotto ja toteuttaminen samana päivänä 26. kesäkuuta ja taipumus käyttää satunnaisesti luotuja muuttujia ja URL-hakemistoja, on todennäköistä, että tämän Dridex-variantin takana olevat toimijat jatkavat indikaattorien muuttamista koko nykyisen kampanjan ajan”, raportissa sanottiin.
Valoa tunnelin päässä?
FBI julkisti 05.12.2019 syytteet kahden Venäjän kansalaisen haittaohjelmasalaliitosta.
Maksim V. Yakubetsia ja Igor Turashevia syytetään useiden rikoskumppaneidensa kanssa yrityksestä, joka tartutti kymmeniätuhansia tietokoneita Bugat-nimisellä haittakoodilla. Asennettuaan tietokonekoodi, joka tunnetaan myös nimillä Dridex tai Cridex, antoi rikollisille mahdollisuuden varastaa pankkitunnuksia ja siirtää rahaa suoraan uhrien tileiltä. Pitkään jatkuneeseen järjestelmään kuului useita eri koodivaihtoehtoja, ja myöhemmät versiot asensivat uhrien tietokoneisiin myös lunnasohjelmia. Rikolliset vaativat sitten maksua kryptovaluutalla elintärkeiden tietojen palauttamisesta tai kriittisten järjestelmien käyttöoikeuksien palauttamisesta.
Turashev ja Yakubets saivat molemmat Pennsylvanian läntisessä piirikunnassa syytteen muun muassa salaliitosta petokseen, sähköisen viestin välityksellä tehdystä petoksesta ja pankkipetoksesta. Yakubets yhdistettiin myös Nebraskan piirikunnassa annettuihin syytteisiin pankkipetoksen tekemistä koskevasta salaliitosta sen jälkeen, kun tutkijat pystyivät yhdistämään hänet syytteeseen asetettuun nimimerkkiin ”aqua” kyseisestä tapauksesta, joka koski toista Zeus-nimellä tunnettua haittaohjelmavaihtoehtoa.
Lue koko artikkeli täältä
Miten ehkäistä lunnasohjelmia
Voit ryhtyä useisiin puolustustoimiin, joilla voit ehkäistä lunnasohjelmatartunnan. Nämä vaiheet ovat tietysti yleisesti ottaen hyviä tietoturvakäytäntöjä, joten niiden noudattaminen parantaa suojautumistasi kaikenlaisilta hyökkäyksiltä:
- Korjaaminen – Pidä käyttöjärjestelmäsi korjattuna ja ajan tasalla varmistaaksesi, että käytössäsi on vähemmän haavoittuvuuksia hyödynnettäväksi.
- Sovellusten valkoinen listaus – Älä asenna ohjelmistoja äläkä anna niille hallinnollisia oikeuksia, ellet tiedä tarkalleen, mikä se on ja mitä se tekee. Varmista, että ylläpidät koko organisaation hyväksyttyjen sovellusten luetteloa.
- Virustentorjunta-/haittaohjelmapalvelu – Käytä palvelua, joka havaitsee haittaohjelmat, kuten kiristysohjelmat, heti niiden saapuessa. Joihinkin sisältyy whitelisting-ominaisuuksia, jotka estävät luvattomien sovellusten suorittamisen ylipäätään.
- Extend your Perimeter, käytä sähköpostin ja sosiaalisen median suodatuspalvelua, mieluiten pilvipohjaista. Tämä havaitsee haitalliset liitetiedostot ja tiedostot, ja monet ”Spambrellan kaltaiset” palveluntarjoajat tutkivat myös URL-osoitteet haitallisten toimijoiden varalta.
- Ota käyttöön 3:2:1 -lähestymistapa. Luo kolme varmuuskopiota kahdella erityyppisellä tietovälineellä ja säilytä yksi kopio turvallisesti paikan ulkopuolella ilmatiiviissä laitteessa – sellaisessa, joka ei ole verkossa tai johon ei pääse käsiksi internetin kautta
Kaikki, mitä sinun tarvitsee tietää phishingistä…
Sähköpostin väärentäminen:
Michiganilaispraktiikka Brookside ENT sulkee ovensa lunnasohjelmahyökkäyksen jälkeen
.