Philadelphia Ransomware: Νέα μόλυνση στον κλάδο της υγείας

Ένα νέο στέλεχος ransomware ανακαλύφθηκε από αξιωματούχους ασφαλείας του Forcepoint του Τέξας που στοχεύει οργανισμούς υγειονομικής περίθαλψης. Το Philadelphia ransomware προέρχεται από την οικογένεια Stampado. Αυτό το κιτ ransomware πωλείται στο διαδίκτυο για μερικές εκατοντάδες δολάρια και οι εισβολείς απαιτούν λύτρα με τη μορφή Bitcoin.

Οι ερευνητές διαπίστωσαν ότι το Philadelphia ransomware μεταφέρεται μέσω emails spear-phishing. Τέτοια μηνύματα ηλεκτρονικού ταχυδρομείου αποστέλλονται στα νοσοκομεία με ένα σώμα μηνυμάτων συντομευμένης διεύθυνσης URL που κατευθύνεται σε έναν προσωπικό χώρο αποθήκευσης που εξυπηρετεί ένα οπλισμένο αρχείο DOCX με το λογότυπο του στοχευμένου οργανισμού υγειονομικής περίθαλψης. Οι υπάλληλοι παγιδεύονται και καταλήγουν να κάνουν κλικ σε αυτούς τους συνδέσμους που κάνουν το ransomware να διεισδύσει στο σύστημα.

Πηγή εικόνας: forcepoint.com

Μόλις εγκατασταθεί το ransomware στο σύστημα, επικοινωνεί με τον διακομιστή C&C και μεταφέρει όλες τις πληροφορίες σχετικά με τον υπολογιστή-θύμα, όπως λειτουργικό σύστημα, χώρα, γλώσσα συστήματος και όνομα χρήστη του μηχανήματος. Στη συνέχεια, ο διακομιστής C&C δημιουργεί ένα αναγνωριστικό θύματος, τιμή λύτρων και αναγνωριστικό πορτοφολιού Bitcoin και τα στέλνει στο στοχευμένο μηχάνημα.

Η τεχνική κρυπτογράφησης που χρησιμοποιείται από το Philadelphia Ransomware είναι η AES-256, η οποία απαιτεί λύτρα 0,3 Bitcoin μόλις ολοκληρωθεί το κλείδωμα των αρχείων σας. Η ενασχόλησή του με τον κλάδο της υγείας μπορεί να παρατηρηθεί από τη διαδρομή καταλόγου που εμφανίζει το «νοσοκομείο/ανεπιθύμητη αλληλογραφία» ως συμβολοσειρά στην κρυπτογραφημένη JavaScript μαζί με το «νοσοκομείο/σπα» που περιέχεται στη διαδρομή του διακομιστή C&C.

Πηγή εικόνας: funender.com

Τι είναι η Φιλαδέλφεια:

Εντάξει, όλοι γνωρίζουν ότι είναι η μεγαλύτερη πόλη στην Πενσυλβάνια και μπλα μπλα μπλα… αλλά όσον αφορά το έγκλημα στον κυβερνοχώρο, είναι επίσης μια ενημερωμένη έκδοση του διαβόητου ιού τύπου ransomware Stampado. Στα μηνύματα ηλεκτρονικού ψαρέματος, μπορεί να τα συναντήσετε με πλαστές ειδοποιήσεις εκπρόθεσμης πληρωμής. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου περιλαμβάνουν ως επί το πλείστον συνδέσμους προς τους ιστότοπους της Φιλαδέλφειας, οι οποίοι διατηρούνται έτοιμοι με εφαρμογές Java για την εγκατάσταση ransomware στο σύστημά σας.

Δείτε επίσης:  Κορυφαία 5 Εργαλεία Προστασίας Ransomware

Η Philadelphia ξεκινά την κρυπτογράφηση αρχείων με διάφορες επεκτάσεις όπως .doc,.bmp, .avi, .7z, .pdf κ.λπ., μετά από μια επιτυχημένη εισβολή στο σύστημα. Μπορείτε να αναγνωρίσετε ένα κρυπτογραφημένο αρχείο που έχει κλειδωθεί από τη Philadelphia με την επέκτασή του ως ' .locked '. Για παράδειγμα, ένα αρχείο στο σύστημά σας με το όνομα "abc.bmp" θα κρυπτογραφηθεί και θα μετονομαστεί σε "KD24KIH83483BJAKDF8JDR7.locked". Μόλις προσπαθήσετε να ανοίξετε το κρυπτογραφημένο αρχείο, το ransomware ανοίγει ένα νέο παράθυρο με ένα μήνυμα που απαιτείται για λύτρα.

Το μήνυμα λύτρων σάς ενημερώνει ότι τα αρχεία έχουν κρυπτογραφηθεί και πρέπει να τα πληρώσετε για να τα επαναφέρετε. Το Philadelphia χρησιμοποιεί έναν αλγόριθμο ασύμμετρης κρυπτογράφησης που δημιουργεί ένα δημόσιο (κρυπτογράφηση) και ιδιωτικό (αποκρυπτογράφηση) κλειδιά ενώ κρυπτογραφεί και κλειδώνει τα αρχεία. Η αποκρυπτογράφηση των κλειδωμένων αρχείων χωρίς το ιδιωτικό κλειδί είναι σαν να βράζει ένας ωκεανός, καθώς βρίσκονται σε απομακρυσμένους διακομιστές που φυλάσσονται από εγκληματίες του κυβερνοχώρου.

Το παράθυρο περιέχει δύο ενδιαφέροντα χρονόμετρα: Deadline και Russian Roulette. Ενώ ο χρονοδιακόπτης προθεσμίας υποδεικνύει, τον χρόνο που απομένει για τη λήψη του ιδιωτικού κλειδιού σας, η Ρωσική Ρουλέτα δείχνει την ώρα για να διαγράψετε το επόμενο αρχείο (που σας ωθεί να το αγοράσετε χωρίς να αφιερώσετε χρόνο στην αναζήτηση βοήθειας). Είναι πράγματι μια απειλή, αλλά αυτό είναι το μόνο πράγμα που δεν είναι ψεύτικο.

Πηγή εικόνας: forbes.com

Μπορείτε να Αποφύγετε αυτήν την Κατάσταση;

Ναί. Μπορείτε να σωθείτε από το να σας πριονίσει το Philadelphia ransomware . Ωστόσο, πρέπει να διατηρήσετε τον υπολογιστή σας οπλισμένο με το καλύτερο λογισμικό προστασίας από ransomware και κακόβουλο λογισμικό. Σημειώστε ότι κάποιο ransomware μπορεί να παρακάμψει το καλύτερο anti ransomware, επομένως η καλύτερη πρακτική είναι να γίνετε προσεκτικός χρήστης και να μην κάνετε κλικ σε οτιδήποτε ασυνήθιστο και ύποπτο.

Δείτε επίσης:  Οι κορυφαίες 5 συμβουλές για την καταπολέμηση του όλεθρου του Ransomware

Λαμβάνοντας υπόψη τα πάντα, το Philadelphia Ransomware μπορεί να θεωρηθεί ως ένας διεισδυτικός τύπος μόλυνσης. Αν και έχει στοχεύσει μόνο τους οργανισμούς υγειονομικής περίθαλψης τώρα, αλλά μπορεί να γίνετε και εσείς θύμα καθώς ο πηγαίος κώδικας αυτού του ιού είναι ανοιχτός προς πώληση στα 400 $ μέσω του σκοτεινού ιστού. Οποιοσδήποτε επίδοξος εγκληματίας στον κυβερνοχώρο μπορεί να πάρει τον κωδικό και να αρχίσει να κυνηγά ένα θήραμα. Το να διατηρείτε τον υπολογιστή σας ανοσοποιημένο και προστατευμένο από antimalware και anti-ransomware θα σας βοηθήσει.