Trash Panda i powrót NoCry – FortiGuard Labs o nowych typach ransomware
Codziennie powstaje ponad 316 tysięcy wariantów złośliwego oprogramowania – wynika z raportu sporządzonego przez AtlasVPN w 2022 roku. Eksperci z FortiGuard Labs, podmiotu firmy Fortinet zajmującego się badaniem i analizą zagrożeń, zbadali dwa z nich – Trash Pandę oraz nowy wariant ransomware NoCry. Oba stanowią zagrożenie przede wszystkim dla użytkowników Microsoft Windows i zostały sklasyfikowane jako „wysoce niebezpieczne”.
Ataki ransomware uznawane są za najbardziej dochodową formę działania cyberprzestępców. Według raportu International Data Corporation z 2021 roku, przeciętna wysokość żądanego okupu to ok. ćwierć miliona dolarów. Najwyższa zanotowana kwota wyniosła zaś 4,5 miliona dolarów i została opłacona przez firmę CWT Global w 2020 roku. Schemat ataku ransomware zazwyczaj wygląda podobnie – polega na zaszyfrowaniu plików na zainfekowanym urządzeniu, a następnie domaganiu się przez cyberprzestępców okupu za udostępnienie klucza deszyfrującego. W taki sposób funkcjonują również warianty NoCry oraz TrashPanda.
Nie tylko motyw finansowy – nietypowe żądania twórców Trash Panda
Pierwsze przypadki użycia do ataku złośliwego oprogramowania Trash Panda zostały zarejestrowane na początku sierpnia 2023 roku. Po zainfekowaniu urządzenia program wprost informuje użytkownika za pomocą wiersza poleceń, że jego pliki są właśnie szyfrowane. Trash Panda zmienia również tapetę na pulpicie. W przypadku tego rodzaju ransomware cyberprzestępcy nie domagają się opłaty za przywrócenie danych. Stawiane przez nich warunki są bardziej enigmatyczne, z wyraźnym politycznym zabarwieniem. Mowa w nich m.in. o uwolnieniu członków rodziny autorów oprogramowania. Ofiara ma ograniczony czas na podjęcie kontaktu z napastnikami, a jeśli tego nie zrobi, jej pliki zostaną trwale usunięte. Oprogramowanie Trash Panda jest obecnie poddawane analizie na podstawie próbek zgromadzonych w Stanach Zjednoczonych oraz Czechach.
NoCry – kryptowaluty i fałszywe przedsiębiorstwo
Pierwsze wzmianki o NoCry pojawiły się w kwietniu 2021 roku. Generalną, możliwą do zaobserwowania tendencją w postępowaniu twórców tego oprogramowania jest dystrybucja jego wariantów za pośrednictwem komunikatora Telegram. Najnowsza wersja NoCry była jednak hostowana na stronie internetowej, której adres URL zawierał nazwę prywatnego banku z Indii. Wszystko wskazuje więc, że w tym przypadku cyberprzestępcy polegali na dezorientowaniu swoich ofiar i dawaniu im fałszywego przekonania, iż pobierają plik z bezpiecznego, legalnego źródła.
Po uruchomieniu NoCry, oprogramowanie szyfruje pliki na zainfekowanym urządzeniu, dodaje do nich rozszerzenie „.rcry”, a następnie wyświetla żądanie okupu. Wyróżniającym aspektem działania autorów NoCry jest waluta, w jakiej opłacony miałby zostać okup, czyli USDT-TRC20 (Tether). Jest to jedna z popularniejszych kryptowalut wśród tzw. stablecoinów. Ich cechą charakterystyczną jest powiązanie z konkretną, tradycyjną jednostką pieniężną, pozwalające na wymianę 1:1. W przypadku USDT jest to dolar amerykański.
Podobnie jak w trakcie ataku Trash Panda, na urządzeniu ofiary NoCry wyświetla się wiadomość z informacją, że zostało ono zainfekowane. Ma ona ograniczony czas na zapłacenie przestępcom wskazanej przez nich kwoty. W przypadku opóźnienia wysokość okupu wzrośnie, a jego nieopłacenie wiąże się z ryzykiem trwałego usunięcia danych. W wiadomości umieszczony jest również link prowadzący do strony kalifornijskiego przedsiębiorstwa zajmującego się cyberbezpieczeństwem. Aby skorzystać z usług oferowanych przez firmę, użytkownicy muszą uiścić opłatę w walucie USDT na podany adres portfela. Według analityków z FortiGuard Labs na podstawie tych informacji można przypuszczać, że osoby stojące za NoCry stworzyły fikcyjne przedsiębiorstwo lub stronę internetową, aby zastawić więcej pułapek na nieświadomych użytkowników. Podobnie jak w przypadku Trash Panda, to oprogramowanie również jest obecnie poddawane analizie przy wykorzystaniu próbek ze Stanów Zjednoczonych oraz Malezji.
Czy należy płacić okup?
W przypadku zainfekowania urządzenia złośliwym oprogramowaniem stanowczo odradzane jest płacenie okupu i spełnianie żądań cyberprzestępców. Wiąże się to z faktem, że zapłacenie okupu nie stanowi gwarancji odzyskania zaszyfrowanych danych. Ponadto, przesłanie atakującym pieniędzy daje im informację zwrotną o tym, że obrana taktyka działa, co może skutkować zwiększeniem liczby ataków. Ofiarom ataków ransomware doradza się odwiedzenie oferującej wsparcie strony NoMoreRansom.org, która dostępna jest także w polskiej wersji językowej. Dostępne są na niej narzędzie umożliwiające odszyfrowanie danych zakodowanych przez niektóre rodzaje oprogramowania ransomware. Natomiast jeśli nie oferuje ona dekryptora rozwiązującego dany problem, zaleca się zgłoszenie sytuacji do Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT NASK.