Objevila se nová varianta ransomware Spora, která se chová i jako červ a na koncovém zařízení šíří se prostřednictvím .lnk zástupců ve Windows.

Rovněž výši výpalného nestanovuje jen podle typu souborů, ale i počtu souborů, které se jí podařilo zašifrovat.

Minimálně od roku 2015 se ví, že MongoDB není secure by default, nicméně nikdo její bezpečnost neřešil, dokud nezačaly být na tuto open source NoSQL databázi vedeny útoky.

Zveřejnění informací o probíhajících útocích na špatně zabezpečené MongoDB instance zvýšilo pochopitelně zájem hackerů o tuto platformu.

Od začátku roku uplynulo sotva pár dní a už zde máme první poměrně sofistikovaný ransomware nazvaný Spora, který by se dal označit za novou generaci ransomware.

Spora ransomware je šířen emailem jako příloha ve formátu PDF, ale ve skutečnosti se jedná o HTA aplikaci s vbscriptem.

Byť se ransomware zatím šíří spíše plošně, tak už delší dobu dochází k cíleným útokům na konkrétní subjekty.

A vše nasvědčuje tomu, že tento negativní trend jen tak neskončí. Především proto, že tyto subjekty navzdory doporučení bezpečnostních expertů vcelku ochotně za dešifrování svých dat zaplatí. Dle FBI si kyberkriminálníci za minulý rok měli přijít na nějakou 1 miliardu dolarů.

Zdá se, že se nám pomalu mění vektor útoku, neboť ransomware už není šířen jen e-mailem v dokumentu s makrem, tak jak tomu bylo ještě počátkem tohoto roku, ale i přes web.

Již několik měsíců je zneužíváno zatím nepublikované zranitelnosti na sociálních sítích jako je Facebook nebo LinkedIn, kde uživatelé mohou nahrát obrázek, který se pak zobrazuje i ostatním uživatelům.

Zvláštní, více jak rok známá hrozba a zranitelnost a přesto nikdo neudělal nic proto, aby uživatele ochránil.

Proč je vůbec možné SVG soubor na Facebook nahrát, a když už, tak proč je nutné, aby v něm byl povolen javascript. A když už se o to nepostaral Facebook, tak co dělaly všechny ty HIPSy v antivirech?

Vždycky jste chtěli nějaký ransomware, ale nechtěli jste za něj nikdy platit stovky dolarů, pak tu máme něco právě pro vás.

Tak takhle začíná intenzivní kampaň na dark webu, kde je nabízena nová verze ransomware Stampado ne nepodobná Cryptolockeru za pouhých 39 USD a s doživotní licencí. No nekupte to, obzvlášť když přináší ještě některé funkce navíc.

Byla objevena nová verze ransomware, která obsahuje vlastní  odinstalátor a nabízí i online podporu.

Při spuštění odinstalace sice dojde jen ke smazání vlastního ransomware, data samozřejmě zůstanou zašifrována, ale i tak je to hezké. Od možnosti on-line chatu si pak útočníci nejspíš slibují zvýšení konverze.

Že jsou makroviry zpět a slaví úspěch, jsem psal již před více jak rokem. Nyní jsou makra využívány ke stažení ransomware nazvaného Locky, to podle koncovky jím zašifrovaných souborů.

Nejedná se však o zneužití nějaké nové zranitelnosti, nýbrž o obyčejný phishing, byť vysoké závažnosti, kdy uživateli přijde e-mailem zpráva s přílohou obsahující wordovský dokument s makrem.

Dnes a denně se objevují nové a nové verze ransomware, které na koncovém zařízení zašifrují všechny soubory, a nejen na něm, ale i na připojených síťových discích.

Kromě toho smažou i stínové kopie, aby nebylo možné zašifrované soubory obnovit, a přepíší i prázdné místo na disku, aby nebylo možné data obnovit pomocí nejrůznějších recovery nástrojů.