פתחתם RDP בפיירוול? תכירו, כופרת Matrix

Sophos, מובילה גלובלית בהגנת נקודות קצה ורשת, משחררת דוח אודות משפחת הכופרות Matrix (מטריקס). הכופרה פועלת משנת 2016 ו- Sophos גילתה 96 דוגמאות במרחב הרשת. כמו כופרות ממוקדות קודמות, כולל BitPaymer, Dharma ו- SamSam, התוקפים שמדביקים מחשבים עם Matrix פרצו לרשתות הארגון והדביקו את המחשבים באמצעות RDP, כלי גישה מרחוק מובנה במחשבי Windows. יחד עם זאת, שלא כמו משפחות כופרות אחרות אלו, Matrix מתמקדת רק במכונה אחת ברשת במקום להתפשט באופן נרחב בארגון.

בדוח האחרון שלהן, מעבדות SophosLabs הנדסו לאחור את הקוד והטכניקות, אשר מיושמים על ידי התוקפים, וכמו גם את השיטות ומכתבי הכופר ששימשו על מנת לסחוט כספים מהקורבנות. פושעי ה- Matrix פיתחו את הפרמטרים של ההתקפה שלהם לאורך זמן עם קבצים וסקריפטים חדשים שנוספו על מנת לפרוס משימות שונות ותוצאות הרסניות שונות ברשת.

מכתבי הכופר של כופרת ה- Matrix מוטמעים בקוד ההתקפה, אבל הקורבנות לא יודעים כמה הם צריכים לשלם עד שנוצר קשר עם התוקפים. במשך רוב תקופת הקיום של Matrix, הכותבים השתמשו בשירות הודעות מידיות מוצפן שנקרא bitmsg.me, אבל שירות זה הופסק כעת והכותבים עברו לשימוש בחשבונות אימייל רגילים.

השחקנים מאחורי Matrix דורשים כופר במטבעות קריפטו באופן שיהיה שווה ערך לדולר אמריקאי. זהו דבר בלתי רגיל שכן דרישות למטבעות קריפטו מגיעות בדרך כלל עם ערך ספציפי של מטבעות קריפטו  ולא כשווה ערך לדולר. זה לא ברור האם דרישת הכופר היא ניסיון ישיר להנחיה מוטעית או רק ניסיון להתגבר על התנודתיות הפראית של ערך הסחר של מטבעות הקריפטו. בהתבסס על תקשורת ש- SophosLabs ערכה עם התוקפים, דרישות הכופר הגיעו ל- 2,500 דולר אמריקאי, אבל התוקפים בסופו של דבר צמצמו את הכופר כאשר החוקרים הפסיקו להגיב לדרישות.

Matrix היא כמו האולר השוויצרי של עולם הכופרות, עם גרסאות חדשות יותר שיכולות לסרוק ולמצוא קורבנות פוטנציאליים ברגע שנכנסו לרשת. למרות נפח הדוגמאות הקטן, זה לא הופך את הכופרה לפחות מסוכנת. Matrix מתפתחת וגרסאות חדשות מופיעות ככל שהתוקף משתפר עם לקחים שנלמדו מכל התקפה.

למידע נוסף בקרו בדוח המלא: Matrix: A Low-Key Targeted Ransomware report by Sophos.