Dharma Bum Ransomware lærte at parasit på juridiske antivirusprogrammer

Forskere opdagede ny version af Dharma Ransomware, der bruger lovlige antivirus værktøjer til ofre opmærksomhed omdirigering mens alle typer af filer på pc'en krypteret på baggrunden tilstand.

DHarma Ransomware er kendt siden 2016, men det stadig bevæger sig gennem internettet og jager organisationer over hele verden. Berømte Dharma aktion fandt sted i november 2018, når extorters inficeret hospital i Texas og krypterede filer fra sit netværk. Heldigvis, hospital lykkedes at gendanne dem uden at betale buyout.

Det lader til, at sådanne angreb bør være velundersøgte og deres konsekvenser neutraliseres, imidlertid, TrendMicro for nylig opdaget nye arter af Dharma extortions. Desuden, malware erhvervet nye taktikker.

Attack starter med en e-mail, For eksempel, fra Microsoft.

Ifølge det budskab, at brugeren modtager, hans computer er angiveligt truet, og det er nødvendigt straks at installere antivirus-software. For at gøre det, brugere måtte hente foreslåede fil. Denne fil indeholder normalt extortionists’ software og juridisk og velkendt for brugere ESET AV Remover, et antivirus værktøj fra ESET Company til fjernelse installeret antivirus scanninger fra computer.

Kørsel af selvudpakkende arkiv
Kørsel af selvudpakkende arkiv fra post

Uanset om brugerne vil fuldføre installationen af ​​AV Remover eller ej, extortionist krypterer alle filer typer på baggrunden. Langt om længe, brugere bliver nødt til at betale for dekryptering af filer.

”Cyberkriminelle har tradition for misbrug med autentiske instrumenter. Og denne nylige praksis med installatør udnyttelse som en distraktion er endnu en metode, de eksperimenterer med”- siger Rafael Senteno fra antivirus selskab TrendMicro.

ESET selskab blev informeret om udnyttelse af deres produkter til Dharma Ransomware forfremmelse og deres repræsentanter fundet nødvendigt at argumentere:

”Sagen beskriver den velkendte praksis for malware at være bundtet med lovlig anvendelse(s). I det konkrete tilfælde Trend Micro er at dokumentere, en officiel og umodificeret ESET AV Remover blev anvendt. imidlertid, enhver anden anvendelse kunne bruges på denne måde. Den væsentligste årsag er, at distrahere brugeren, denne ansøgning bruges som afledning ansøgning. ESET trussel afsløring ingeniører har set flere tilfælde af ransomware pakket i selv-ekstrakt pakke sammen med nogle rene filer eller hack / keygen / knække nylig. Så det er ikke noget nyt.”

TrendMicro giver anbefalinger om beskyttelse fra lignende ting.

Brugere og organisationer bør forberede sig på Dharma og lignende trusler ved at vedtage god cybersikkerhed hygiejne. Nogle bedste praksis for at følge omfatte:

  • Sikker e-mail-gateways at forpurre trusler via spam og undgå at åbne mistænkelige e-mails.
  • Regelmæssigt sikkerhedskopiere filer.
  • Hold systemer og applikationer opdateret, eller bruge virtuel patching til arv eller unpatchable systemer og software.
  • Håndhæve princippet om mindst privilegium: Sikkert system forvaltninger værktøjer, som angriberne kunne misbruge;
  • Gennemføre netværkssegmentering og data kategorisering for at minimere yderligere eksponering af forretningskritiske og følsomme data; og deaktivere tredjepart eller forældede komponenter, der kunne bruges som indgange.
  • Gennemføre forsvar i dybden: Ekstra lag af sikkerhed som ansøgning kontrol og adfærd overvågning hjælper forpurre uønskede ændringer af systemet eller udførelse af unormale filer.
  • Fremme en sikkerhedskultur på arbejdspladsen

Kilde: https://blog.trendmicro.com

Om Trojan Killer

Carry Trojan Killer Portable på din memory stick. Vær sikker på, at du er i stand til at hjælpe din pc modstå eventuelle cyber trusler, hvor du går.

Tjek også

MageCart på Heroku Cloud Platform

Forskere har fundet flere MageCart Web Forplove On Heroku Cloud Platform

Forskere ved Malwarebytes rapporteret om at finde flere MageCart web skummere på Heroku cloud-platform …

Android Spyware CallerSpy

CallerSpy spyware masker som en Android chat applikation

Trend Micro eksperter opdagede malware CallerSpy, hvilke masker som en Android chat program og, …

Efterlad et Svar