Czym jest złośliwe oprogramowanie Dridex?
Dridex to złośliwe oprogramowanie (malware), które jest ukierunkowane na dostęp bankowy i finansowy poprzez wykorzystanie makr w pakiecie Microsoft Office do infekowania systemów. Po zainfekowaniu komputera osoby atakujące Dridex mogą wykraść dane bankowe i inne informacje osobiste znajdujące się w systemie, aby uzyskać dostęp do rekordów finansowych użytkownika.
Dridex działa w ten sposób, że najpierw pojawia się na komputerze użytkownika jako złośliwy spam z załączonym dokumentem Microsoft Word. Jeśli użytkownik otworzy ten dokument, makro osadzone w dokumencie ukradkiem uruchamia pobieranie złośliwego oprogramowania bankowego Dridex, umożliwiając mu najpierw kradzież danych bankowych, a następnie próbę wygenerowania fałszywych transakcji finansowych.
Ewolucja Cridex i ZeuS
Dridex jest ewolucją złośliwego oprogramowania Cridex, które z kolei jest oparte na złośliwym koniu trojańskim ZeuS. Złośliwe oprogramowanie bankowe Dridex początkowo rozprzestrzeniało się pod koniec 2014 roku za pośrednictwem kampanii spamowej, która generowała do 15 000 wiadomości e-mail każdego dnia. Ataki skupiały się głównie na systemach komputerowych zlokalizowanych w Wielkiej Brytanii.
Koń trojański Cridex rozprzestrzenia się poprzez kopiowanie się na zmapowane i wymienne dyski na zainfekowanych komputerach. Cridex tworzy w zainfekowanym systemie punkt wejścia typu backdoor, umożliwiający pobieranie i uruchamianie dodatkowego złośliwego oprogramowania oraz przeprowadzanie operacji, takich jak otwieranie nieuczciwych stron internetowych.
Ta ostatnia możliwość pozwala Cridexowi przechwytywać bankowe dane uwierzytelniające użytkowników zainfekowanego systemu, gdy użytkownik próbuje odwiedzić i zalogować się na finansową stronę internetową. Cridex ukradkiem przekierowuje użytkownika do fałszywej wersji strony finansowej i rejestruje dane logowania podczas ich wprowadzania.
Czy Dridex jest wykrywalny?
Jak w przypadku złośliwego oprogramowania Emotet, Dridex również miał wiele iteracji. W ciągu ostatniej dekady Dridex przeszedł serię rozszerzeń funkcji, w tym przejście na skrypty XML, algorytmy haszujące, szyfrowanie peer-to-peer oraz szyfrowanie peer-to-command-and-control. Podobnie jak w przypadku Emoteta, każda nowa wersja Dridexa stanowi kolejny krok w globalnym wyścigu zbrojeń, na który społeczność bezpieczeństwa odpowiada nowymi metodami wykrywania i łagodzenia skutków” – napisali badacze.
Uważa się, że Dridex będzie nadal doczekał się większej liczby odmian. „Biorąc pod uwagę wdrożenie domeny ssl-pertcom w tym samym dniu 26 czerwca oraz tendencję do wykorzystywania losowo generowanych zmiennych i katalogów adresów URL, prawdopodobne jest, że aktorzy stojący za tym wariantem Dridexa będą nadal zmieniać wskaźniki w trakcie trwania obecnej kampanii” – napisano w raporcie.
Światło na końcu tunelu?
W dniu 05 grudnia 2019 roku FBI ogłosiło zarzuty w spisku złośliwego oprogramowania dwóch obywateli Rosji.
Wraz z kilkoma współkonspiratorami, Maksim V. Yakubets i Igor Turashev są oskarżeni o wysiłek, który zainfekował dziesiątki tysięcy komputerów złośliwym kodem o nazwie Bugat. Po zainstalowaniu, kod ten, znany również jako Dridex lub Cridex, pozwalał przestępcom na kradzież danych bankowych i bezpośrednie wyprowadzanie pieniędzy z kont ofiar. Długotrwały schemat obejmował kilka różnych wariantów kodu, a późniejsze wersje instalowały na komputerach ofiar również oprogramowanie ransomware. Przestępcy żądali następnie zapłaty w kryptowalucie za zwrot ważnych danych lub przywrócenie dostępu do najważniejszych systemów.
Turashev i Yakubets zostali oskarżeni w Zachodnim Dystrykcie Pensylwanii między innymi o zmowę w celu popełnienia oszustwa, oszustwo przewodowe i oszustwo bankowe. Yakubets został również powiązany z zarzutami o konspirację w celu popełnienia oszustwa bankowego wydanymi w Dystrykcie Nebraska po tym, jak śledczy byli w stanie połączyć go z oskarżonym o moniker „aqua” z tej sprawy, która dotyczyła innego wariantu złośliwego oprogramowania znanego jako Zeus.
Czytaj cały artykuł tutaj
Jak zapobiegać ransomware
Istnieje kilka kroków obronnych, które możesz podjąć, aby zapobiec infekcji ransomware. Te kroki są oczywiście dobrymi praktykami bezpieczeństwa w ogóle, więc ich przestrzeganie zwiększa Twoją obronę przed wszelkiego rodzaju atakami:
- łatanie – Utrzymuj swój system operacyjny załatany i aktualny, aby zapewnić, że masz mniej luk do wykorzystania.
- Biała lista aplikacji – Nie instaluj oprogramowania ani nie nadawaj mu uprawnień administracyjnych, jeśli nie wiesz dokładnie, co to jest i co robi. Upewnij się, że prowadzisz listę zatwierdzonych aplikacji dla całej organizacji.
- Usługa antywirusowa/Malware – używaj usługi, która wykrywa złośliwe programy, takie jak ransomware, w momencie ich pojawienia się. Niektóre z nich zawierają funkcje whitelisting, które zapobiegają wykonywaniu nieautoryzowanych aplikacji w pierwszej kolejności.
- Rozszerz swoją perymetrię, użyj usługi filtrowania poczty elektronicznej i mediów społecznościowych, najlepiej opartej na chmurze. Pozwoli to wykryć złośliwe załączniki, pliki, a wiele z nich „jak Spambrella” skanuje również adresy URL w poszukiwaniu złośliwych aktorów.
- Przyjmij podejście 3:2:1. Utwórz trzy kopie zapasowe na dwóch różnych typach nośników i przechowuj jedną kopię bezpiecznie poza siedzibą firmy na urządzeniu zabezpieczonym przed dostępem powietrza – takim, które nie jest połączone z siecią lub dostępne przez Internet
Wszystko, co musisz wiedzieć o phishingu…
Spoofing poczty elektronicznej: Co to jest i jak mu zapobiegać
Michigan Practice Brookside ENT Closes Doors Following Ransomware Attack
Michigan Practice Brookside ENT Closes Doors Following Ransomware Attack
Michigan