A CryptoWall bevétele átlépte a milliós határt

2014. szeptember 01. 12:20 - Csizmazia Darab István [Rambo]

A CryptoLocker, CryptoWall zsaroló kártevők tavalyi megjelenésük óta ezidáig már több, mint 1 millió dollár védelmi pénzt kasszíroztak be az áldozatoktól. Minden más vásárlásnál rettenetesen örülne az ember, ha az volna odaírva: "Discount: -25%", ám itt a legkártékonyabb malware esetén emiatt valahogy mégsem tudunk önfeledten mosolyogni.

A Dell SecureWorks Counter Threat Unit (CTU, de nem 24 :-) ) jelentése szerint ez a fajta kártevő végzi a legnagyobb pusztítást, a tavaly megismert CryptoLocker után a 2013. novemberében felbukkanó, majd 2014. februártól már erőteljes támadásokat végző CryptoWall hihetetlen károkat okozott már világszerte. A statisztikák szerint idén márciustól augusztus végéig bezárólag közel 625,000 számítógépes rendszert fertőzött meg, ezzel pedig több mint 5.25 milliárd fájlt kódolt el olvashatatlanná és használhatatlanná téve.

A begyűjtött adatok alapján a legtöbb fertőzést láthatólag az USA szenvedte el, ahol a világszerte regisztrált összes CryptoWall incidenses eset 40.6 százaléka történt, ezek jelentős részét igen nagy valószínűséggel az angol nyelvterületeket támadó, fertőzött e-mail mellékletes Cutwail spamek okozhatják.

Emellett a második leggyakoribb terítési módszer pedig a böngészők javítatlan biztonsági sebezhetőségeinek kihasználása a weboldalak drive by download típusú támadásával. A fertőzött weboldalakon található Upatre nevű downloader kártevő a tapasztalatok szerint nem csak a Zeus GameOver, hanem a CryptoWall terítésében is aktív szerepet játszik, ehhez pedig gyakran a különféle felhőszolgáltatásokon belül regisztrált, illetve már kompromittált fiókokhoz tartozó Dropbox, Mediafire vagy hasonló linkeket használ.

Érdekesen alakult a váltságdíjak fizetése is, ugyanis bár az említett 625 ezer fertőzés után mindössze csak 1,683 áldozat (0.27%) fizette be végül a kért összeget, mégis az így is elérte, illetve meghaladta a milliós limitet, a vizsgált időszakban ez pontosan 1,101,900 amerikai dollárnak felelt meg.

A kutatók a már lezajlott incidensek adatait igyekeztek összegyűjteni és precízen elemezve feldolgozni. Bár a CryptoWall az eredeti CryptoLockerhez képest sokkal több rendszert fertőzött meg - mintegy 100 ezerrel többet - mégis a bezsebelt váltságdíjakból azonban már csak 37 százalék részesedést tudott felmutatni. Ez részint annak tudható be, hogy már eleve egy magasabb összeget követel, másfelől nem rendelkeznek annyira kifinomult fizetési rendszerrel - mint például a Zeus GameOver, továbbá a Bitcoinos fizetési szisztéma is még sokak számára idegen.

Az is figyelemre méltó, hogy a távoli vezérlőszerverek használatánál a korábbi hagyományos webszerveres módszerhez képest 2014. júliusától látszólag teljesen áttértek a nehezebben nyomon követhető TOR hálózatokra.

Ezenfelül sajnos az is világosan látszik, hogy a bűnözők állandóan javítgatják a kártevő hibáit, folyamatosan fejlesztik a tudását, ezt mutatja például a fizetési metódusok bővülése is, amely mostanra a MoneyPak, a Paysafecard, a cashU és Ukash rendszer használatát is elfogadja vagy az, hogy a használt processz neve ne legyen feltűnő, belesimuljon a szokásos munkakörnyezetbe.

A kutatók azt is igyekeztek megfigyelni, hogyan változik a követelt váltságdíj összege, azonban ebben szisztematikus rendszert nem sikerült megállapítani, a jellemzően 200 és 2000 amerikai dollár közötti összeget látszólag sztochasztikusan állapítják meg, de az már jellegzetes, hogy később a 4-7 napos határidőt átlépők kapják a magasabb sarcot.

A legek között érdemes megemlíteni azt a kirívó esetet is, amikor az egyik felhasználó a határidő lejártával meggondola magát, és mégis úgy döntött, hogy fizet, akkora azonban már egy egész vagyont, 10 ezer USD-t kellett leszurkolnia a korábban túszul ejtett állományaiért. Érdemes tehát a szívünkön viselni a külső adathordozóra és gyakran végzett rendszeres mentéseket, mert itt valóban a megelőzés a legfontosabb teendő.

Szólj hozzá!

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr506654971

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.