Companiile sunt vizate de o nouă versiune a programului de tip ransomware RAA, prin care infractorii cibernetici încearcă să obțină beneficii financiare în schimbul unor informații sustrase din computere, avertizează experți Kaspersky Lab, într-un comunicat de presă transmis miercuri presei. Noua versiune a programului de tip ransomware RAA este scrisă în întregime în Jscript și este un nou troian care le trimite victimelor o arhivă zip ce conține un fișier malware în format „.js”. „Programul ransomware RAA și-a făcut apariția în peisajul amenințărilor cibernetice în iunie 2016 și a fost primul ransomware scris doar în Jscript. În luna august, experții Kaspersky Lab au descoperit o nouă versiune. La fel ca precedentele, aceasta este distribuită pe e-mail, dar acum codul malware este ascuns într-o arhivă zip protejată cu parolă. Măsura a fost implementată de infractori în special pentru a păcăli soluțiile AV, având în vedere dificultatea mai mare de a examina conținutul unei arhive protejate. După analiza e-mail-urilor, experții Kaspersky Lab au ajuns la concluzia că infractorii vizează mai mult companiile, cu e-mail-uri infectate care conțin informații despre un ordin de plată întârziat, din partea unui furnizor. Pentru ca e-mail-urile să pară autentice, explicația lor era aceea că, din motive de securitate, documentul din anexă a fost protejat (parola pentru arhivă era oferită la finalul e-mail-ului), inclusiv prin criptare asimetrică, suplimentar. Această declarație pare ridicolă pentru utilizatorii de internet avizați, dar este plauzibilă pentru victimele credule”, subliniază specialiștii.
Potrivit sursei citate, procesul ulterior de infectare este similar cu cel folosit la versiunea anterioară de RAA ransomware, respectiv victima deschide fișierul „.js”, care își începe acțiunea, iar pentru a-i distrage atenția acesteia, troianul afișează un document fals cu un set aleatoriu de caractere. „În timp ce victima încearcă să înțeleagă ce se întâmplă, programul RAA criptează fișierele din dispozitiv. În fine, programul ransomware creează pe desktop o notă în care solicită răscumpărarea și toate fișierele criptate primesc o nouă extensie „.locked” (...) Odată ce răscumpărarea este plătită, infractorii îi solicită utilizatorului să le trimită master key-ul criptat, care îi va fi returnat victimei decriptat, împreună cu o parte din software-ul de decriptare. Metoda a fost aleasă, evident, pentru a permite programului malware să cripteze și dispozitive off-line, nu doar pe cele care se pot conecta la internet”, se arată în comunicarea Kaspersky Lab.
Mai mult decât atât, împreună cu programul ransomware RAA, victima primește și troianul Pony, care este capabil să fure parole de la toți clienții de e-mail, inclusiv de la utilizatorii comerciali, și să le trimită unui atacator aflat la distanță.