PYSA ransomware wykorzystujące złośliwe oprogramowanie ChaChi
Zespół badawczy BlackBerry ujawnił, że gang ransomware PYSA wykorzystuje trojana zdalnego dostępu (RAT) jako backdoora, aby za jego pomocą infekować placówki edukacyjne oprogramowaniem ransomware. Eksperci BlackBerry nazwali trojana ChaChi, jego wczesna forma została zauważona po raz pierwszy w marcu 2020 r., kiedy zostały nim zaatakowane lokalne władze we Francji. W międzyczasie trojan został wzbogacony o nowe możliwości, które znacząco utrudniają jego wykrycie (zaciemnianie kodu, omijanie zapór sieciowych). Ponadto trojan jest napisany w Golang, stosunkowo nowym języku programowania, którego znajomością może się pochwalić niewielu badaczy, co utrudnia jego analizę.
Gang ransomware PYSA
Co wiemy o gangu ransomware PYSA (skrót od: protect your system, amigo), który wykorzystuje trojana ChaChi w swoich atakach? To gang, który specjalizuje się w ukierunkowanych atakach. Napastnicy uderzają w duże i znane jednostki w nadziei na to, że zawstydzona ofiara zapłaci wysoki okup. Polowanie na grube ryby jest z pewnością znacznie bardziej opłacalne dla członków gangu, a skrupulatnie przeprowadzone ataki nie pozwoliły dotychczas złapać oszustów. Z pozyskanych przez śledczych informacji wynika, że gang działa głównie na terenie USA i Wielkiej Brytanii, najczęściej są atakowane placówki edukacyjne. Poza zaszyfrowaniem plików, gang grozi ofiarom opublikowaniem skradzionych plików, jeśli okup nie zostanie zapłacony. Eksperci BlackBerry przypominają, że podczas pandemii Covid-19 instytucje edukacyjne stały się szczególnie kuszącym celem dla cyberprzestępców. Dlaczego? Tego typu placówki posiadają mnóstwo poufnych danych, niestety często dysponują przestarzałą infrastrukturą, a pracownikom brak odpowiednich umiejętności w zakresie higieny cybernetycznej.
Placówki edukacyjne i jednostki medyczne na celowniku cyberprzestępców
Raporty FBI wskazują na wzrost ataków ransomware PYSA na placówki edukacyjne (w szczególności szkolnictwo wyższe) i jednostki opieki zdrowotnej. Przetwarzanie ogromnej ilości poufnych danych, zarówno osobistych, jak i zdrowotnych, czyni je idealnym celem dla cyberprzestępców. Zwłaszcza dla gangów ransomware, takich jak PYSA, które również kradną dane przed zaszyfrowaniem plików. Szkoły i szpitale z reguły nie dbają o tworzenie kopii zapasowych, często korzystają ze starszych i rzadko łatanych systemów, co sprawia, że dla napastników są łatwym celem. Ponadto takim jednostkom szczególnie zależy na przywróceniu działania systemów i odzyskaniu skradzionych danych, stąd łatwiej je nakłonić do zapłacenia okupu.
Jak chronić się przed ransomware PYSA i trojanem ChaChi?
Analiza próbek tego złośliwego oprogramowania potwierdza, że jego wykrycie jest niezwykle trudne. ChaChi to niestandardowy malware, który niepostrzeżenie pozwala uzyskać atakującym dostęp do zainfekowanych systemów i kontrolowania ich. Jednak zespół BlackBerry opracował nowe narzędzie, które ma pomóc w odciemnianiu celowo zniekształconego kodu ChaChi. Tego typu zagrożenia tylko potwierdzają, że tradycyjna ochrona oparta głównie na oprogramowaniu antywirusowym korzystającym z baz sygnatur jest nieskuteczna w starciu z wyrafinowanym złośliwym oprogramowaniem. Jak w takim razie ochronić się przed malwarem? Swoją przydatność po raz kolejny udowadnia CylanceOPTICS – system EDR, który wykrywa podejrzaną aktywność w sieci. Jesteś ciekaw jaki taki system działa w praktyce? Zapraszamy na webinar, podczas którego nasz inżynier zdradzi tajniki działania tego innowacyjnego narzędzia EDR.
