Vad är Dridex malware?
Dridex är skadlig programvara (malware) som är inriktad på bankverksamhet och finansiell åtkomst genom att utnyttja makron i Microsoft Office för att infektera system. När en dator väl är infekterad kan Dridex-anfallare stjäla bankuppgifter och annan personlig information i systemet för att få tillgång till en användares finansiella register.
Dridex fungerar genom att först komma in på en användares dator som ett skadligt skräppostmeddelande med ett Microsoft Word-dokument bifogat till meddelandet. Om användaren öppnar dokumentet utlöser ett makro som är inbäddat i dokumentet i smyg en nedladdning av det skadliga bankprogrammet Dridex, vilket gör det möjligt att först stjäla bankuppgifter och sedan försöka generera bedrägliga finansiella transaktioner.
Dridex är en vidareutveckling av det skadliga programmet Cridex, som i sin tur är baserat på det skadliga programmet ZeuS Trojan Horse. Det skadliga bankprogrammet Dridex spreds ursprungligen i slutet av 2014 via en skräppostkampanj som genererade uppemot 15 000 e-postmeddelanden varje dag. Attackerna fokuserade främst på datorsystem i Storbritannien.
Den trojanska hästen Cridex sprids genom att kopiera sig själv till mappade och flyttbara enheter på infekterade datorer. Cridex skapar en bakdörr på infekterade system, vilket gör det möjligt att ladda ner och köra ytterligare skadlig kod och utföra operationer som att öppna oseriösa webbplatser.
Denna sistnämnda förmåga gör det möjligt för Cridex att fånga upp bankuppgifter från användare på ett infekterat system när användaren försöker besöka och logga in på en finansiell webbplats. Cridex kommer i smyg att omdirigera användaren till en bedräglig version av den finansiella webbplatsen och registrera inloggningsuppgifterna när de skrivs in.
Är Dridex upptäckbar?
Som det har varit fallet med Emotet-malware, har Dridex också haft många iterationer. Under det senaste decenniet har Dridex genomgått en rad funktionsförstärkningar, bland annat en övergång till XML-skript, hash-algoritmer, peer-to-peer-kryptering och peer-to-command-and-control-kryptering. Liksom Emotet spårar varje ny version av Dridex ytterligare ett steg i den globala kapprustningen när säkerhetssamhället reagerar med ny upptäckt och begränsning”, skriver forskarna.
Det antas att Dridex kommer att fortsätta att se fler varianter. ”Med tanke på att ssl-pertcom-domänen distribuerades och implementerades samma dag den 26 juni och att det finns en tendens att använda slumpmässigt genererade variabler och URL-kataloger är det troligt att aktörerna bakom den här varianten av Dridex kommer att fortsätta att förändra indikatorerna under hela den pågående kampanjen”, står det i rapporten.
Ljus i slutet av tunneln?
Den 05 december 2019 tillkännagav FBI att två ryska medborgare åtalats i en konspiration om skadlig kod.
Länge med flera medkonspiratörer åtalas Maksim V. Yakubets och Igor Turashev för en satsning som smittade tiotusentals datorer med en skadlig kod som kallas Bugat. När koden, även känd som Dridex eller Cridex, väl installerad gjorde den det möjligt för brottslingarna att stjäla bankuppgifter och slussa pengar direkt från offrens konton. Det långvariga systemet omfattade ett antal olika kodvarianter, och senare versioner installerade även utpressningstrojaner på offrens datorer. De kriminella krävde sedan betalning i kryptovaluta för att återlämna vitala data eller återställa tillgången till kritiska system.
Turashev och Yakubets åtalades båda i Western District of Pennsylvania för bland annat konspiration för att begå bedrägeri, trådbedrägeri och bankbedrägeri. Yakubets knöts också till anklagelser om konspiration för att begå bankbedrägeri utfärdade i distriktet Nebraska efter att utredare kunde koppla honom till den åtalade monikern ”aqua” från det fallet, som gällde en annan variant av skadlig kod som är känd som Zeus.
Läs hela artikeln här
Hur man förebygger utpressningstrojaner
Det finns ett antal defensiva åtgärder som du kan vidta för att förhindra infektion med utpressningstrojaner. Dessa åtgärder är naturligtvis goda säkerhetsrutiner i allmänhet, så om du följer dem förbättrar du ditt försvar mot alla typer av attacker:
- Patching – Håll operativsystemet patchat och uppdaterat för att se till att du har färre sårbarheter att utnyttja.
- Application White listing – Installera inte programvara eller ge den administrativa privilegier om du inte vet exakt vad det är och vad den gör. Se till att du upprätthåller en godkänd programlista för hela organisationen.
- Anti-virus/Malware-tjänst, använd en tjänst som upptäcker skadliga program som utpressningstrojaner när de anländer. Vissa innehåller funktioner för whitelisting som förhindrar att obehöriga program överhuvudtaget körs.
- Utöka din perimeter, använd en tjänst för filtrering av e-post och sociala medier, helst molnbaserad. Detta kommer att upptäcka skadliga bilagor och filer och många ”som Spambrella” skannar även webbadresser för skadliga aktörer.
- Anta tillvägagångssättet 3:2:1. Skapa tre säkerhetskopior, på två olika typer av medier, och förvara en kopia på ett säkert sätt utanför anläggningen på en luftskyddad enhet – en som inte är ansluten till ett nätverk eller tillgänglig via internet
Allt du behöver veta om nätfiske…
Email spoofing: Vad är det och hur man förhindrar det
Michiganpraktik Brookside ENT stänger dörrarna efter en Ransomware-attack