Opět můžeme zaznamenat další významný trend co do cíle útoku ransomware. Ten kromě desktopů, mobilů a serverů napadá nyní i celé cloudy.

Stále více ransomware útoků je vedeno na cloudy využívaných ze strany firem, protože tam útočníci očekávají větší příjmy než od běžných uživatelů PC, kterým zašifrovali jejich osobní data.

Jako ochrana před zcela novými druhy ransomware resp. jejich detekcí lze použít tzv. techniku canary files.

Ta spočívá v tom, že se do adresářů, které obsahují citlivá data, umístí návnada v podobě několika málo souborů, a pokud dojde k jejich změně, tak je jasné, že došlo k zavlečení ransomware.

Objevila se nová vlna ransomware BadRabbit cílená na ruské firmy, kterých mělo být napadeno více jak 200.

Údajně se šíří jako drive-by download malware, který se nachází na kompromitovaných zpravodajských webech, a vydává za aktualizaci aplikace Adobe Flash Player a na vnitřní síti se pak snaží zneužívat exploit EternalRomance, na který byly vydána záplata již v březnu tohoto roku.

Cílem tohoto příspěvku je popsat, jak funguje moderní ransomware, proč se obejde bez komunikace s C&C serverem, a jak efektivně využívá prostředků symetrické a asymetrické kryptografie.

Nejprve se na serveru útočníka (attacker, zkr. A) vygeneruje pár 2048 bitových RSA klíčů.

Tento mobilní ransomware, jehož příchod jsem predikoval počátkem roku, byl objeven společností McAfee na mobilních zařízeních s Google Android, a funguje přesně na popsaném principu.

V zásadě zde dochází ke změně paradigmatu, která by se dala vystihnout jako „Zaplať, nebo svá data již nikdy neuvidíš“ na „Zaplať, nebo tvá data uvidí všichni“.

Objevila se nová varianta známého ransomware Petya, která se šíří přes internet a využívá přitom zranitelnosti EternalBlue a EternalRomance v SMB stejně jako předtím WannaCry.

Byť tento ransomware zneužívá známých zranitelností, které měly být již dávno opraveny, tak přesto došlo k napadení mnoha velkých státních institucí i soukromých subjektů.

Ten se sice šíří již od února, a za tu dobu napadl již několik stovek tisíc počítačů ve stopadesáti různých státech po celém světě, takže některá média neváhají hovořit o pandemii.

Nejvíce napadených počítačů je v Rusku, více jak 70.000. V ostatních státech jdou počty napadených počítačů do tisíců, ale mnohem spíše do stovek, např. v Česku, takže nic zvláštního, co do počtu obětí zde byly mnohem větší útoky a nebyla jim věnována taková pozornost.

Dnes se začaly opět šířit e-maily vyzývající příjemce k uhrazení dlužného plnění před provedením exekuce.

Jako první o této nové vlně informoval server hoax.cz. Útočník v tomto případě rozesílal e-mail téměř stejného znění jako v roce 2014. V e-mailu pak byl uveden odkaz na stránky exekutorského úřadu www.exekutor.site.

Útočníci napadli hotel a zablokovali řídící počítač a spolu s ním i přístup na všechny pokoje využívající elektronický zámek, aby se nikdo nemohl ubytovat.

Manažer 4hvězdičkového hotelu v rakouských Alpách útočníkům za odemčení všech pokojů raději požadované výpalné ve výši 1600 USD zaplatil, protože jinak by se 180 hostů, kteří zaplatili 300 USD za pokoj/noc, nemohlo dostat na pokoj a vznikla by mu mnohem vyšší škoda.

Charger, nový mobilní ransomware cílící na uživatele Google Android a šířící se i přes Google Play byl ukryt v aplikaci Energy Rescue, která měla šetřit baterii.

Vzhledem k tomu, že uživatelé chytrých telefonů se často potýkají s nízkou výdrží baterie, tak se nelze divit, že se nechají snadno zlákat ke stažení aplikace, která se tváří, že by mohla vyřešit tento jejich problém.