de April » Mie Mai 17, 2017 7:40 am
Centrul Național Cyberint
Informare campanie ransomware Jaff
Context
În perioada 11 - 16 mai 2017, prin intermediul sistemului de management centralizat, a fost observat un număr de aproximativ 1000 de alerte, provenite din sistemele mai multor instituții conectate în cadrul rețelei de cooperare aferente “Sistemului național de protecție a infrastructurilor IT&C de interes național împotriva amenințărilor provenite din spațiul cibernetic”.
Aceste alerte semnalează primirea unor emailuri ce au ca atașamente fișiere de forma [șir de numere aleatoare].pdf, asociate aplicației malware de tip ransomware Jaff.
Subiectul emailurilor este, în majoritatea cazurilor, de forma Scanned_image sau xy_invoice_zws, unde x, y, z, w, s sunt cifre aleatoare.
Fișierul pdf atașat conține, la rândul său, un fișier de tip doc, prin intermediul căruia se poate realiza infectarea stației cu aplicația malware.
Comportamentul și capabilitățile aplicației
Jaff este distribuit prin intermediul unor emailuri nesolicitate (spam), trimise de botnetul Necurs. Acest botnet (existent din anul 2012) este o infrastructură utilizată de către atacatori în scopul distribuirii de aplicații malware de tipul troienilor bancari sau ransomware, dintre care cele mai cunoscute sunt Dridex și Locky.
Dridex reprezintă o aplicație malware specializată în sustragerea de credențiale bancare, prin intermediul unui sistem ce utilizează macro-urile din Microsoft Word (programe conținute în fișierele de tip Word).
Locky este o aplicație malware de tip ransomware, distribuită prin email ce are atașat un document Microsoft Word care conține macro-uri cu capabilități malware.
Conform unei analize din surse deschise, în aprilie 2017, Necurs era format din aproximativ 6 milioane de stații infectate, având capabilități de transmitere de milioane de emailuri la un moment dat.
Subiectul emailurilor din campania Jaff poate fi unul dintre cuvintele: Copy, Document, Scan, File sau PDF, urmate de un număr aleator.
Atașamentul este reprezentat de un fișier pdf, ce are încorporat un document Word. Acesta are atașate macro-urile cu funcționalități malware și conține instrucțiuni pentru utilizatori, pentru ca aceștia să permită executarea codului.
Dacă acest lucru este permis și macro-urile pot să se execute, atunci se va descărca și instala aplicația ransomware Jaff, care începe imediat criptarea fișierelor ce au una dintre extensiile cuprinse într-o listă de 423 de extensii vizate. După criptare, fișierele afectate primesc extensia .jaff.
Aplicația ransomware creează, de asemenea, două fișiere cu instrucțiuni de urmat pentru ca utilizatorul afectat să poată plăti recompensa în moneda virtuală bitcoin, în scopul obținerii programului de decriptare. Portalul pe care se realizează plata este găzduit pe rețeaua Tor, recompensa cerută fiind de 1.79 bitcoins (aproximativ 3150$).
Acțiuni necesare și bune practici
Organizațiile trebuie să se asigure că acele sisteme care au instalat sistemul de operare Windows au aplicate toate actualizările de securitate și sunt dezvoltate în concordanță cu bunele practici din ghidurile de securitate.
Este recomandabil ca funcționalitatea de deschidere automată a macro-urilor din cadrul documentelor Microsoft Word să fie dezactivată sau cel puțin să ceară acordul utilizatorilor înainte ca macro-urile să fie executate. În versiunile mai noi ale Microsoft Office, macro-urile sunt dezactivate implicit și rulează doar în cazurile în care utilizatorul își dă explicit acordul pentru deschiderea lor.
Este important de reținut faptul că deschiderea unui atașament de tipul celor menționate nu echivalează cu infectarea sistemului gazdă, infecția producându-se doar în situația în care utilizatorul permite în mod explicit rularea conținutului de tip macro.
Este obligatoriu ca semnăturile antivirus ale produselor instalate în rețelele informatice să preia la zi ultimele update-uri.
De asemenea, atât administratorii sistemelor informatice, cât și utilizatorii individuali, trebuie să efectueze backup-uri ale sistemelor, la intervale de timp regulate, în scopul minimizării pierderilor în cazul criptării fișierelor.
Utilizatorii trebuie să fie vigilenți la deschiderea documentelor din atașamentele emailurilor ce provin din surse necunoscute sau care nu sunt de încredere, în special la deschiderea documentelor de tip Word sau Excel.
Pentru a putea vizualiza fişierele ataşate acestui mesaj trebuie să vă autentificaţi.