Zagrożenie o nazwie Dridex swego czasu było koszmarem dla użytkowników komputerów, potrafiło bowiem skutecznie wyprowadzać pieniądze z rachunków bankowych swoich ofiar. Szacuje się, że Dridex spowodował straty liczone w milionach dolarów. Wszystko wskazywało na to, że zagrożenie przestało być aktywnie wykorzystywane przez cyberprzestępców. Do czasu. Laboratorium antywirusowe firmy ESET przechwyciło wirusa, który co prawda nie jest Drideksem, ale w znacznej części bazuje na jego kodzie źródłowym.
Trojan bankowy Dridex pojawił się po raz pierwszy w 2014 roku i wówczas został uznany za jeden z najbardziej wyrafinowanych trojanów bankowych atakujących użytkowników komputerów. Cyberprzestępcy stworzyli wiele odmian tego zagrożenia. Ostatnio na temat zagrożenia było głośno w połowie 2017 roku, kiedy to szkodliwy kod rozsyłany za pomocą wiadomości e-mail, wykorzystywał lukę w Wordzie. Z pomocą tego zagrożenia cyberprzestępcy ukradli wtedy miliony dolarów z kont bankowych nieświadomych niczego użytkowników. Jak wskazują eksperci z ESET, twórcy Dridexa stworzyli nowe zagrożenie - ransomware FriedEx/BitPaymer.
Co ma wspólnego FriedEx/BitPaymer z Dridexem?
Zagrożenie, początkowo nazywane BitPaymer, zostało odkryte w lipcu zeszłego roku przez Michaela Gillespiego – amerykańskiego badacza specjalizującego się w analizie zagrożeń ransomware. Niespełna miesiąc po jego odkryciu wirus trafił na nagłówki największych gazet, bowiem zainfekował szkockie szpitale. Od tego czasu zdążył ewoluować.
Zagrożenie znane jako FriedEx/BitPaymer jest wymierzone w firmy i przeprowadzane za pomocą tzw. ataków siłowych (brute force) na komputery z włączoną usługą zdalnego pulpitu. Złośliwe oprogramowanie szyfruje każdy plik znajdujący się w systemie, uniemożliwiając do niego dostęp i żądając okupu za odszyfrowanie - tłumaczy Kamil Sadkowski, analityk zagrożeń z ESET.
Eksperci z ESET pod koniec zeszłego roku dokonali interesującego odkrycia. Okazało się, że fragmenty kodów FriedEx’a są niemal identyczne ze strukturą szkodliwego Dridexa.
FriedEx używa tych samych metod ukrywania swojego działania, co Dridex. W obu szkodliwych programach cyberprzestępcy pozostawili informacje na temat źródłowej lokalizacji na dysku, w której stworzono programy. Ścieżka wygląda na unikalną (S:Work_binRelease-*) i nie występuje w żadnych innych szkodliwych programach, które analizowaliśmy. Także daty kompilacji zaszyte w obu programach charakteryzują się mocną zbieżnością czasową (różnią się ledwie o kilka minut). Nie wykluczamy w przyszłości nowych odmian zagrożeń stworzonych przez twórców Dridex’a - wyjaśnia Kamil Sadkowski z ESET.