Οκτώβριος 23, 2013 | Αθήνα

To Ransomware Nymaim συνεχίζει να εξαπλώνεται με νέο φορέα μόλυνσης, το Black Hat SEO

Τις τελευταίες εβδομάδες, η ομάδα ερευνητών malware της ESET στο εργαστήριο του Μόντρεαλ ασχολείται με την εξέταση του γνωστού Nymaim, ενός Trojan downloader με χαρακτηριστικά ransomware. Το malware εξαπλώνεται μέσω του Darkleech, ενός κακόβουλου λογισμικού που παραβιάζει τους web servers και οδηγεί τους χρήστες στο γνωστό Black Hole exploit kit. Το Darkleech έχει ήδη μολύνει πολλά δημοφιλή websites, προκαλώντας αναστάτωση στους χρήστες που περιηγούνται στους αγαπημένους τους ιστότοπους. Κατά την έρευνα, οι αναλυτές της ESET κατόρθωσαν να συλλέξουν πολλά διαφορετικά σχέδια lockscreen από όλο τον κόσμο – το Nymaim έχει σχέδια προσαρμοσμένα ειδικά για χώρες της Ευρώπης και της Βόρειας Αμερικής. Παράλληλα, η έρευνα της ESET για το Trojan downloader επιβεβαίωσε την ύπαρξη μολύνσεων και κατέδειξε ένα νέο φορέα εξάπλωσης, το Black Hat SEO, που μπερδεύει τις μηχανές αναζήτησης.

Προσθέτοντας επιπλέον στοιχεία στην πρόσφατη ανάλυση malware για την αυξημένη δράση του Filecoder, που αφορούσε στα ransomware Trojans που κρυπτογραφούν αρχεία χρηστών και προσπαθούν να αποσπάσουν λύτρα από τα θύματα σε αντάλλαγμα με ένα πρόγραμμα αποκρυπτογράφησης, η ESET διεξήγαγε εκτενή έρευνα για τα ransomware. Το Trojan downloader, που ονομάστηκε Win32/Nymaim, σχετίζεται με μία μακρόχρονη εκστρατεία εξάπλωσης του DarkLeech/Black Hole exploit kit (BHEK), γνωστή ως home campaign. Σύμφωνα με τις τελευταίες στατιστικές της ανεξάρτητης εταιρίας ερευνών για θέματα ασφάλειας Kafeine σχετικά με το BHEK, έχουν σημειωθεί 2,8 εκατομμύρια μολύνσεις από την αρχή της εκστρατείας.

«Σύμφωνα με τα δεδομένα τηλεμετρίας του ESET LiveGrid®, παρατηρείται από τον Ιούλιο του 2013 αυξημένη ανίχνευση των ransomware Trojans και το Nymaim εξακολουθεί να είναι ενεργό, καθώς επίσης το Win32/Nymaim παραβιάζει τους υπολογιστές σε δύο βήματα, χρησιμοποιώντας δύο διαφορετικά εκτελέσιμα αρχεία. Το πρώτο εκτελέσιμο αρχείο (που έχει ονομαστεί «Win32/Nymaim πρώτο στάδιο») απλά κατεβάζει και εκτελεί το δεύτερο αρχείο (που έχει ονομαστεί «Win32/Nymaim δεύτερο στάδιο»). Το δεύτερο στάδιο του Win32/Nymaim, που πρωτοεμφανίστηκε το Σεπτέμβριο του 2013, μπορεί να κατεβάσει και άλλα malware ή να κλειδώσει τον υπολογιστή» σημειώνει ο Jean-Ian Boutin, Malware Researcher της ESET.

Η ESET ανιχνεύει και τα δύο στάδια ως Win32/Nymaim, καθώς περιέχουν αρκετό κοινό κώδικα, συμπεριλαμβανομένων και των τεχνικών απόκρυψης που περιγράφονται στο πρώτο σχετικά με αυτό το θέμα blog post Nymaim – Obfuscation Chronicles, που αναρτήθηκε στο WeLiveSecurity.com τον Αύγουστο 2013. Η ESET μπορεί να προστατεύσει τους χρήστες από τη συγκεκριμένη απειλή με τη νέα 7η γενιά των κορυφαίων της λύσεων ESET NOD32® Antivirus και ESET Smart Security®. Ειδικότερα, οι χρήστες είναι πλέον πιο προστατευμένοι από τα ransomware Trojans, χάρη στο Advanced Memory Scanner. Η συγκεκριμένη λειτουργία δρα μετά την εκτέλεση, στοχεύοντας στην ανίχνευση malware που δεν έχει εντοπιστεί από άλλες τεχνολογίες. Επίσης, η συμβολή του έγκειται στην προστασία κυρίως από κακόβουλο λογισμικό που προσπαθεί ενεργά να διαφύγει του εντοπισμού με τη χρήση διαφόρων τεχνικών απόκρυψης.

«Όταν πρωτοανακαλύψαμε το Win32/Nymaim, γνωρίζαμε μόνο ένα φορέα μόλυνσης: τα drive-by downloads που χρησιμοποιούν BHEK. Τώρα γνωρίζουμε ότι υπάρχει τουλάχιστον ακόμη ένας τρόπος εξάπλωσης αυτής της απειλής στους ανυποψίαστους χρήστες του internet. Αναλύοντας μερικές από τις ιστοσελίδες που κινητοποιούν αυτά τα κακόβουλα download, φτάσαμε στο συμπέρασμα ότι το Black Hat SEO χρησιμοποιείται για να τα εμφανίζει όσο πιο ψηλά γίνεται στα αποτελέσματα αναζήτησης όταν οι χρήστες αναζητούν δημοφιλείς λέξεις-κλειδιά,» προσθέτει ο Boutin.

Η ομάδα της ESET κατόρθωσε να συλλέξει σχέδια lockscreen από τις ακόλουθες χώρες: Αυστρία, Καναδάς, Γαλλία, Γερμανία, Ιρλανδία, Μεξικό, Ολλανδία, Νορβηγία, Ρουμανία, Ισπανία, Ηνωμένο Βασίλειο και ΗΠΑ. Ωστόσο, η λίστα αυτή σίγουρα δεν είναι η τελική.

 

 Για τις περισσότερες από τις χώρες που ερευνήθηκαν, το ύψος των λύτρων ανέρχεται περίπου στα 150 αμερικάνικα δολάρια. Η ψηλότερη τιμή λύτρων ζητήθηκε στους κατοίκους των ΗΠΑ (300 δολάρια), και ακολούθησαν οι Νορβηγία, Ηνωμένο Βασίλειο και Μεξικό, ενώ στη Ρουμανία ο μολυσμένος χρήστης καλούνταν να πληρώσει μόνο περίπου 100 Ευρώ. Ο κύριος φορέας μόλυνσης, BHEK, δεν λειτουργεί πλέον καθώς ο δημιουργός του έχει συλληφθεί. Επομένως, το μέλλον του Win32/Nymaim και της εξάπλωσής του αναμφισβήτητα παρουσιάζει ενδιαφέρον και, αναπόφευκτα, λόγω της πολυπλοκότητας του συγκεκριμένου malware, αναμένεται να δούμε παραλλαγές του σύντομα.

 

Οι ενδιαφερόμενοι μπορούν να επισκεφθούν το blog post Nymaim: Browsing for Trouble  για να βρουν περισσότερες πληροφορίες σχετικά με την έρευνα του Win32/Nymaim και του νέου φορέα μόλυνσης, μία μελέτη των διαφορετικών σχεδίων lockscreen από όλο τον κόσμο, τις διαβαθμίσεις των λύτρων καθώς και μία πλήρη τεχνική ανάλυση του πρωτόκολλου επικοινωνίας. Περισσότερες πληροφορίες σχετικά με το πως μολύνεται ένα σύστημα και για τις αναρίθμητες τεχνικές απόκρυψης που χρησιμοποιούνται, διατίθενται στο blog post Nymaim – Obfuscation Chronicles στο WeLiveSecurity.com - τη νέα πλατφόρμα της ESET με τις πιο πρόσφατες πληροφορίες από τον τομέα της ασφάλειας, αναλύσεις γιακυβερνοαπειλές και χρήσιμες συμβουλές.

Σχετικά με την ESET

H ESET®, πρωτοπόρος της προληπτικής προστασίας και ο δημιουργός της βραβευμένης NOD32® τεχνολογίας, πρωτοστάτησε και συνεχίζει να ηγείται στη βιομηχανία λύσεων ασφάλειας για τις επιχειρήσεις και τους καταναλωτές. Για πάνω από 25 χρόνια, η Εταιρεία συνεχίζει να οδηγεί τη βιομηχανία στην προληπτική ανίχνευση ηλεκτρονικών απειλών. Κατακτώντας το 80ο βραβείο "VB100” τον Ιούνιο 2013, το ESET NOD32 Antivirus κατέχει ρεκόρ στα συγκεκριμένα βραβεία από το περιοδικό Virus Bulletin, χωρίς να έχει χάσει κανένα “In-the-Wild” worm ή ιό, από την πρώτη συμμετοχή της στις συγκριτικές δοκιμές, το 1998. Παράλληλα, η τεχνολογία ESET NOD32® κατέχει τη μεγαλύτερη συνεχόμενη σειρά βραβείων VB100 στη βιομηχανία λογισμικού AV. Επίσης, η ESET έχει βραβευθεί πολλές φορές από το AV-Comparatives, το AV Test καθώς και άλλους αναγνωρισμένους οργανισμούς. Εκατομμύρια χρήστες παγκοσμίως εμπιστεύονται τα προϊόντα ESET NOD32® Antivirus, ESET Smart Security® , ESET Cyber Security® (λύση για Mac), το ESET Mobile Security® και Endpoint Security Solutions for Business, οι οποίες είναι από τις πιο δημοφιλής λύσεις ασφαλείας στον κόσμο.

 Τα κεντρικά γραφεία της εταιρείας βρίσκονται στην Μπρατισλάβα (Σλοβακία), με περιφερειακά κέντρα στις περιοχές: Σαν Ντιέγκο (Η.Π.Α.), Μπουένος Άιρες (Αργεντινή), και Σιγκαπούρη, και γραφεία στην Ιένα (Γερμανία), Πράγα (Τσεχία) και Σάο Πάολο (Βραζιλία). Επίσης, η εταιρεία διαθέτει πολυάριθμα ερευνητικά κέντρα ανά τον κόσμο σε Μπρατισλάβα, Σαν Ντιέγκο, Μπουένος Άιρες, Σιγκαπούρη, Πράγα, Κόσιτσε (Σλοβακία), Κρακοβία (Πολωνία), Μόντρεαλ (Καναδάς), Μόσχα (Ρωσία), καθώς επίσης αντιπροσωπεύεται σε 180 χώρες, από ένα εκτεταμένο δίκτυο συνεργατών.