To Spora ransomware αναβαθμίστηκε πρόσφατα και φαίνεται ότι εκτός από το να κρυπτογραφεί τα δεδομένα του θύματος απέκτησε και την ικανότητα να κλέβει κωδικούς πρόσβασης και ψηφιακά νομίσματα από Bitcoin wallets.
Υποκλέπτοντας τα διαπιστευτήρια από τα θύματά τους, οι εγκληματίες εξασφαλίζουν διπλά κέρδη, κερδίζοντας χρήματα από τα λύτρα, αλλά και από την πώληση των κλεμμένων πληροφοριών σε άλλους εγκληματίες σε υπόγεια forums.
Όλα αυτά επιτυγχάνονται με τη βοήθεια μιας περίπλοκης διαδικασίας κρυπτογράφησης, με την οποία έχει γίνει γνωστό το Spora. Η κρυπτογράφηση συνδυάζει ένα κλειδί AES και ένα δημόσιο κλειδί RSA για να κλειδώνει αρχεία στον υπολογιστή του θύματος.
Επιπλέον, το ransomware χρησιμοποιεί το Windows Crypto API για την κρυπτογράφηση των προσωρινών δεδομένων καθώς και το Windows Management Instrumentation για τη διαγραφή των αντιγράφων ασφαλείας όλων των κρυπτογραφημένων αρχείων.
Ουσιαστικά, το Spora ήταν από την αρχή ένα πολύ ισχυρό ransomware και τώρα απέκτησε και την ικανότητα να κλέβει δεδομένα. Η νέα παραλλαγή εντοπίστηκε από τους ερευνητές ασφαλείας της Deep Instinct.
Αυτή η έκδοση του Spora ransomware – η οποία διαδόθηκε κατά τη διάρκεια μιας 48ωρης εκστρατείας που ξεκίνησε στις 20 Αυγούστου, μεταδίδεται από μια καμπάνια ηλεκτρονικού “ψαρέματος” (phishing) που στέλνει στους στόχους ένα έγγραφο του Word που ισχυρίζεται ότι είναι κάποιο τιμολόγιο.
Για να δει τα περιεχόμενα του αρχείου, ο χρήστης καλείται να ενεργοποιήσει ένα αρχείο δέσμης ενεργειών των Windows (Windows Script File), το οποίο επιτρέπει στο έγγραφο να αποβάλει το κακόβουλο φορτίο του. Είναι η πρώτη φορά που το Spora ενσωματώνεται σε κάποιο έγγραφο σύμφωνα με τους ερευνητές.
Μόλις εκτελεστεί, το κακόβουλο φορτίο αρχίζει να κρυπτογραφεί τα αρχεία του υπολογιστή, αλλάζοντας παράλληλα τα ονόματα επεκτάσεων των αρχείων. Μαζί με την κρυπτογράφηση, αναζητεί και διαγράφει κάθε αντίγραφα ασφαλείας που υπάρχουν στον υπολογιστή, πριν παρουσιάσει στο θύμα το σημείωμα που απαιτεί τα λύτρα.
Οι ερευνητές αναφέρουν ότι η τελευταία έκδοση του Spora ransomware συλλέγει επίσης και το ιστορικό περιήγησης, τα διαπιστευτήρια ιστού, και τα cookies των χρηστών, ενώ έχει τη δυνατότητα να καταγράφει και πληκτρολογήσεις.
Spora ransomware: Προστασία
Ενώ η κρυπτογραφία που χρησιμοποιεί το Spora είναι ιδιαίτερα ισχυρή, τα μηνύματα ηλεκτρονικού “ψαρέματος” είναι κάπως εμφανή. Ένας χρήστης εκπαιδευμένος στο να εντοπίζει ψεύτικα e-mails θα είναι σε θέση να αποφύγει κάποια μόλυνση.
“Δεδομένου ότι ο φορέας επίθεσης του Spora βασίζεται στην αλληλεπίδραση των χρηστών, η συνειδητοποίηση των χρηστών μπορεί να διαδραματίσει σημαντικό ρόλο στην παύση της απειλής. Ο βασικός κανόνας είναι να δίδετε ιδιαίτερη προσοχή στα μηνύματα, τα συνημμένα και να αποφεύγετε να τρέχετε ή να ανοίγετε οποιοδήποτε περιεχόμενο από κάποια μη έμπιστη πηγή”, δήλωσε ο Guy Propper, ερευνητής της Deep Instinct.
