שרתי תוכנת הכופר Locky נפרצו ובמקום לנעול את הקבצים מוצגת אזהרה למשתמש

לפי עידו נאור מחברת קספרסקי, ניתן להניח כי אין מדובר בתוקפים עצמם ששינו את הקוד, שכן דבר שכזה יפגע ישירות במוניטין של הנוזקה ובהכנסות מן ההתקפה

שרתי תוכנת הכופר Locky נפרצו ובמקום לנעול את הקבצים מוצגת אזהרה למשתמש

bigstockphoto.com

אחת מתוכנות הכופר הידועות והמצליחות ביותר העונה לשם Locky נכשלה בעת ניסיון לנעילה של קבצים ואף הציגה הודעת שגיאה בה נראה כי מבנה הקובץ פגום.

Locky היא תוכנת כופר המצפינה את הקבצים ונתונים אישיים במחשבים ולאחר ההדבקה מציגה הודעת סחיטה הדורשת תשלום במטבע וירטואלי ביטקוין.

תהליך ההדבקה של תוכנת הכופר מתחיל בהודעת אימייל שנשלחת אל המשתמש ובגוף ההודעה מצורפת דרישה לתשלום עבור ה-invoice המצורף ברכיבים. הקובץ המצורף הינו קובץ zip ובתוכו קובץ JavaScript, אשר בעת הפעלתו יפנה לשרת התקיפה על מנת להוריד את Locky ולהתחיל בשלב הפעלת תוכנת הכופר. 

ברוב המקרים, קוד ה-JavaScript עובר תהליך שנקרא "ערבול" (אובפסקציה), שמטרתו לטשטש את כוונת הקוד ולעכב תהליך חקירה של מומחי אבטחת מידע. בתוך קוד ה-JavaScript ישנו אלגוריתם ייצור כתובת שרת ותפקידו לפתוח ערוץ תקשורת עם שרת התקיפה ולהוריד את קובץ ה-Locky המקורי. 

במקרה של קובץ זה שנחקר ע"י חוקרי חברת Avira, נוצרה הכתובת הבאה: hxxp://cafeaparis.eu/f7****d

אך במקום הנוזקה עצמה, הופיעה המחרוזת - "Stupid Locky", מה שבדיעבד גרם לעצירה.

בהמשך, הופסקה ההתקפה ואף קובץ לא הוצפן. ההנחה הרווחת היא שמישהו מצא את דרכו לשרתי התקיפה ושינה את גוף הבקשה שאחראית על הורדת המקור של Locky.

אפשר להניח כי אין מדובר בתוקפים עצמם שכן דבר שכזה יפגע ישירות במוניטין של הנוזקה ובהכנסות מן ההתקפה. לדברי עידו נאור, חוקר בכיר בצוות ה-GReAT של Kaspersky Lab "זה לא אומר ש-Locky חדל מפעילותו מפני שאנו עוקבים מקרוב אחרי הפעילות של תוכנת הכופר Locky וטרם נראה כי היא הופסקה. להיפך, היא עדיין עומדת בראש רשימת תוכנות הכופר הרווחיות והמורכבות ביותר."

מוקדם יותר החודש, חוקרים בחברת F-Secure, פרסמו בבלוג של החברה כי מקרה נוסף, הנראה כמו הסלמה של אותו המקרה הראשון של Locky, נצפה ונחקר. חוקר בחברה מצא קובץ נוסף ובו תוכן שונה. מבלי לחשוף את מקור הקובץ או שרת התקיפה, נראה שהבקשה שלהלן מחזירה קובץ המציג תמונה למשתמש:

קובץ ה-JavaScript ביצע קריאה לקובץ מרוחק ובעת הפעלת הקובץ נראתה ההודעה הבאה:

דבר אחר שניתן מיד לזהות מן ההודעה הוא שגיאת כתיב, אחד מן הסממנים הבולטים ביותר אותם מומחי אבטחה מתעדים, על מנת להבין מי המקור מאחורי ההודעה. נראה כי בשורה האחרונה באדום מופיעה שגיאת כתיב ליד "email attachment". דבר העלול להעיד על מקור שדובר אנגלית רק כשפה שניה.

מעבר לזה אנו עדים לטרנד שהולך ורוקם עור וגידים בקרב האקרים. לפני מספר חודשים קרה אירוע דומה, שרתי הנוזקה Dridex נפרצו ובמקום להדביק את מחשב הקורבן עם הנוזקה, השרת התקין על מחשב הקורבן קובץ התקנה של תוכנת האנטי-וירוס של חברת Avira.

המקרה של Dridex ושני המקרים הללו יצטרפו לעוד מקרים שאנו צופים שיגיעו בעתיד, בהם האקרים משבשים את פעילותם של התוקפים באמצעות פריצה לשרתי התקיפה והחלפת הקבצים הזדוניים בקבצים לגיטימיים או מסרים אופטימיים המצביעים על גיבורים חדשים, ללא צורה או שם.

אולי יעניין אותך גם