Raziskovali podjetij za kibernetsko varnost Intezer in IBM X-Force so v novem poročilu opisali nenavadno novo obliko izsiljevalske programske opreme (ang. ransomware). Sami napadi z izsiljevalsko programsko opremo so čedalje pogostejši, nova različica, ki so jo raziskovalci poimenovali PureLocker, pa je nenavadna predvsem zato, ker cilja izključno na strežnike podjetij in ne na posamezne računalnike v omrežju.
Strežniki so običajno najbolj kritičen del infrastrukture, saj hranijo kopije najpomembnejših podatkovnih baz in omogočajo komunikacijo med napravami v omrežju. Izpad strežnika tako lahko pomeni popolno ohromitev delovanja podjetja.
Vir: The Financial Times
PureLocker se od ostalih izsiljevalskih programov razlikuje predvsem po tem, da je napisan v programskem jeziku PureBasic. S tem se napadalci izognejo zaznavi s strani varnostnih ponudnikov, ki imajo pogosto težave z zanesljivo zaznavo zlonamerne kode, napisane v tem jeziku. Druga “prednost” pisanja v jeziku PureBasic je enostavno prenašanje programske opreme med različnimi operacijskimi sistemi, saj lahko PureLocker deluje na strežnikih z operacijskimi sistemi Windows, Linux in OS-X. S tem imajo napadalci na voljo bistveno večje število potencialnih tarč.
Podrobnejša analiza je pokazala, da se PureLocker na strežnike prikrade v obliki dll datoteke, v kateri so navidez vpisani ukazi za upravljanje večpredstavnostnih vsebin. Skeniranje datoteke v antivirusnih programih ne pokaže, da bi bila kakorkoli škodljiva, tudi prisotnost datoteke na sistemu ni škodljiva. PureLocker se zažene šele, ko napadalec datoteko zažene preko pripomočka ukazne vrstice regsvr32.exe. Ob tem datoteke postanejo nedostopne, žrtev pa namizju pričaka besedilna datoteka v kateri piše, da je sistem nedostopen in da mora kontaktirati napadalca preko navedenega naslova elektronske pošte za dogovoritev o višini odkupnine. Če žrtev ne kontaktira napadalcev v roku sedmih dni, se datoteke nepreklicno izbrišejo.
Intezer in IBM X-Force ugotavljata, da datoteka pride na sistem preko lažnih elektronskih sporočil in da je lahko na sistemih prisotna več mesecev pred dejanskim napadom. Za PureLocker naj bi bili odgovorni hekerski skupini FIN6 in Cobalt Gang, programska oprema pa se ponuja kot plačljiva storitev za različne ostale napadalce v temnih kotičkih svetovnega medmrežja.
Število žrtev napada s PureLockerjem ni znano, programska oprema naj bi se še vedno širila. Intezer in IBM X-Force vsa podjetja pozivata k poostrenemu nadzoru prometa in redno varnostno kopiranje pomembnih podatkov.
