מתקפת כופר חדשה מתפשטת בעולם וגם בישראל וקוראים לה Jaff
מאת:
מערכת Telecom News, 12.5.17, 13:59
מומחים מדווחים על מתקפת כופר חדשה, שאירעה אתמול - 11.5.17 מזן נוזקה חדש. כעת, כשערך הביטקוין גבוה, סכום הכופר הוא די גבוה. המתקפה נעשית בעיקר על אתרים בסיומת com. אך גם co.il.
מומחי אבטחת מידע מזהירים מסוג חדש של נוזקת כופר המכונה
Jaff, שמכה במטרות סביב העולם ודורשת מהקורבנות סכום של 1.79
ביטקוין (עפ"י ערך הביטקוין היום של 1.824 דולרים לביטקוין באתר
Bitstamp, סכום הכופר עומד על כ-3,500 דולרים), כדי לשחרר את הקבצים שהוצפנו.
עפ"י
Forcepoint Security Labs, קמפיין הדוא"ל הזדוני התפשט אתמול באמצעות הבוטנט המכונה
Necurs, ושלח 5 מיליון אימיילים לשעה. ניתוח העלה, שהוא קשור לנוזקת הכופר
Locky ו-2 הנוזקות מופצות דרך הבוטנט הנ"ל. כ"כ, אתרי התשלום דומים ל-2 הנוזקות. במשך המתקפה אתמול של 4 שעות אותרו 13 מיליוני אימיילים ונחסמו ע"י החברה.
המתקפה היא משמעותית בגודלה וגלובלית ונעשית בעיקר על אתרים בסיומת
com. ויש גם על אתרים בסיומת
co.il. (כפי שניתן לראות בתרשים להלן). היא כוונה לארגונים ב
ישראל, אירלנד, בלגיה, הולנד, איטליה, גרמניה, צרפת, מכסיקו, אוסטרליה, סרילנקה, קוסטה ריקה ופרו.
The campaign theme is a fake document with the following email subject format
PDF_{four or more digits}
Scan_{four or more digits}
File_{four or more digits}
Copy_{four or more digits}
Document_{four or more digits}
Receipt to print
תמונת מסך של נמען שקיבל אימייל עם קובץ בסימון Copy ולאחריו כמה ספרות 293636:
כך נראה המסך של מתקפת Jaff כאשר ההעלאה תפעיל את JAFF:
ברגע שהמחשב נגוע, הרקע במסך מוחלף בהודעה הבאה:
Files are encrypted. To decrypt files you need to obtain the private key. It directs to a URL hosted on the dark web, accessable via Tor
להלן תמונת אחד הנוסחים:
מאחר שמתקפת הכופר היא
המונית, אין ספק, שההאקרים יצליחו להתעשר ע"ח הקורבנות, לאחר שהשקיעו מאמצים לבצע מתקפה בקנה מידה רחב במיוחד.
פרטים נוספים ואינדיקטורים -
כאן.
עדכון 15.6.17, 11:22: חוקרי קספרסקי מצאו חולשה בתוכנת הכופר
.Jaff ארגונים רבים ברחבי העולם נפלו קורבן לתוכנה, שבתחילה לא היה בטוח שימצא לה פתרון.
החוקרים, שגילו את החולשה, כתבו על בסיסה תוכנת פיענוח, אותה ניתן להוריד בחינם
מאתר NoMoreRansom.
Jaff הופצה באמצעות רשת בוטנט, שהייתה אחראית גם להפצה של תוכנות כופר אחרות בעבר כגון לוקי. תוכנת הפיענוח עובדת על כל גרסאותיו של
Jaff ולכן כלל הקורבנות מסוגלים לשחרר את הקבצים תוך מספר שניות.
Jaff, שמגיע עטוף בקובץ
,PDF מציג לקורבן הודעה לפתוח מסמך אופיס וורד, וכאשר האחרון נפתח, תוכנת הכופר תצפין את מחשב הקורבן ברקע. התוכנה תבקש בין 0.5-2 ביטקוין, ששווה ערך ל-1,500-5,000 דולרים.
עדכון 18.6.17, 19:09: לאחרונה
דווח על מקרים רבים של פוגעני כופר מסוגים שונים, שנשלחים בתוך הודעת דואר אלקטרו,ני שכתובת המקור שלה שייכת כביכול לציוד משרדי בארגון המותקף.
הפוגענים שייכים למשפחות:
Jaff, Dridex,
Locky. הקבצים הכלולים בהודעות מסתיימים בד"כ בסיומת
ZIP, כאשר הפוגענים בתוך ה-
ZIP משתנים בהתאם למשפחה והם בעיקר מסוג
EXE,
WSF, או
PDF עם קובץ
DOCMמוטמע.
הכתובות, מהן נשלחו ההודעות, מנסות להתחזות לציוד משרדי כגון סורק/מכונת צילום, שיכול לשלוח דוא"ל כחלק מפעולתו הרגילה. פורמט הכתובות השכיחות נראה כך:
copier@yourORGmaildomain
scanner@yourORGmaildomain
MFD@yourORGmaildomain
canon@yourORGmaildomain
xerox@yourORGmaildomain
לדוגמה הכתובת תיראה כך:
copier@example.co.il