Το Cryptolocker malware (Trojan.Cryptolocker) θεωρήθηκε επιτυχία από τους εγκληματίες του διαδικτύου. Όμως όλα δείχνουν ότι δεν σταματούν εκεί. Οι developers κακόβουλου λογισμικού έχουν στρέφουν την προσοχή τους στην ανάπτυξη νέων ransomcrypt malware. Το εκλεπτυσμένο CryptoDefense (Trojan.Cryptodefense) είναι ένα τέτοιο κακόβουλο λογισμικό.
Το CryptoDefense εμφανίστηκε στα τέλη Φεβρουαρίου του 2014 και από τότε η τηλεμετρία της Symantec δείχνει ότι το λογισμικό της εταιρείας έχει μπλοκάρει πάνω από 11.000 μοναδικές λοιμώξεις CryptoDefense. Χρησιμοποιώντας τις διευθύνσεις Bitcoin που παρέχονται από τους δημιουργούς του κακόβουλου λογισμικού για την καταβολή των λύτρων και κοιτάζοντας τις δημοσίως διαθέσιμες πληροφορίες των Bitcoin blockchains, η εταιρεία εκτιμά ότι αυτό το κακόβουλο λογισμικό απέφερε στους κυβερνοεγκληματίες πάνω από 34.000 δολάρια μόνο σε ένα μήνα (ανάλογα με την αξία του Bitcoin κατά τη στιγμή της γραφής).
“Η Απομίμηση δεν είναι μόνο η ειλικρινέστερη μορφή κολακείας αλλά και η ειλικρινέστερη μορφή μάθησης” – George Bernard Shaw.
Το CryptoDefense, είναι στην ουσία, είναι ένα εξελιγμένο υβριδικό σχέδιο που ενσωματώνει μια σειρά από αποτελεσματικές τεχνικές που έχουν χρησιμοποιηθεί στο παρελθόν από άλλους developers ransomcrypt malware για να αποσπούν χρήματα από τα θύματά. Αυτές οι τεχνικές περιλαμβάνουν τη χρήση του Tor και των Bitcoins για ανωνυμία, κρυπτογράφηση αρχείων χρησιμοποιώντας την ισχυρή κρυπτογράφηση RSA 2048, και τη χρήση της τακτικής της πίεσης, όπως οι απειλές αυξημένου κόστους, αν τα λύτρα δεν καταβληθούν σε ένα σύντομο χρονικό διάστημα. Η Symantec έχει παρατηρήσει ότι το CrytoDefense φτάνει μέσω ηλεκτρονικού ταχυδρομείου. Αν κάποιος κάνει το λάθος και ανοίξει το αρχείο, (συνήθως .PDF) το CryptoDefense θα εγκατασταθεί στον υπολογιστή του και αμέσως θα επιχειρήσει να επικοινωνήσει με ένα από τα ακόλουθα απομακρυσμένα domains.
Μόλις η απομακρυσμένη τοποθεσία απαντήσει, το malware ενεργοποιεί την κρυπτογράφηση και αποστέλλει το ιδιωτικό κλειδί πίσω στον διακομιστή. Μόλις ο απομακρυσμένος διακομιστής επιβεβαιώνει την παραλαβή του ιδιωτικού κλειδιού αποκρυπτογράφησης, το malware στέλνει ένα screenshot της επιφάνειας εργασίας του μολυσμένου υπολογιστή, στον κακόβουλο χρήστη. Μόλις κρυπτογραφήσει τα αρχεία του θύματος, το CryptoDefense δημιουργεί τα ακόλουθα αρχεία σε κάθε φάκελο που περιέχει κρυπτογραφημένα αρχεία: HOW_DECRYPT.TXT HOW_DECRYPT.HTML HOW_DECRYPT.URL Οι συγγραφείς του κακόβουλου λογισμικού χρησιμοποιούν το δίκτυο Tor για την καταβολή των λύτρων. Αν το θύμα δεν είναι εξοικειωμένο με το δίκτυο Tor, παρέχουν περαιτέρω οδηγίες για το πώς να κατεβάσουν ένα Tor browser και πως να πληκτρολογήσουν το μοναδική διεύθυνση Tor για να πάνε στην ιστοσελίδα πληρωμής. Η χρήση του δικτύου Tor κρύβει την τοποθεσία της ιστοσελίδας και παρέχει ανωνυμία στον επιτιθέμενο. Μόλις ο χρήστης ανοίξει τη μοναδική προσωπική σελίδα πληρωμής, και “καταθέσει” τα λύτρα θα λάβει το μοναδικό κλειδί αποκρυπτογράφησης. Αξίζει να σημειωθεί ότι τα λύτρα που ζητάνε οι developers του malware είναι γύρω στα 500 δολάρια και πρέπει να καταβληθούν εντός τεσσάρων ημερών αλλιώς η τιμή διπλασιάζεται. Η χρήση αυτής της τακτικής πίεσης χρόνου από τους εγκληματίες του κυβερνοχώρου δίνει στα θύματα λιγότερο χρόνο να αντιδράσουν.