องค์กรสาธารณะในรัสเซีย รวมถึงเทศบาลและศาล กำลังตกเป็นเป้าหมายของมัลแวร์สายพันธุ์ใหม่ที่ค่อนข้างลับๆ ล่อๆ
CryWiper สวมรอยเป็นแรนซัมแวร์และพยายามขู่กรรโชกเงินจากเหยื่อ (0,5 bitcoins หรือประมาณ 9000 ดอลลาร์ ณ เวลาปัจจุบัน) แต่เป้าหมายของเขาไม่ใช่เพื่อรับเงินแต่เพื่อทำลายไฟล์ทั้งหมดที่พบในเทอร์มินัลที่ติดไวรัส
นักวิจัยด้านความปลอดภัยทางไซเบอร์ของ Kaspersky รายงานการโจมตีทางไซเบอร์ที่ "ไม่ซ้ำใคร" ในรัสเซีย ซึ่งไฟล์ที่ติดไวรัสจะได้รับนามสกุลใหม่: .cry (จึงเป็นที่มาของชื่อ CryWiper) แม้ว่าสื่อท้องถิ่นกล่าวว่าคนร้ายมุ่งเป้าไปที่สำนักงานของนายกเทศมนตรีและศาลของประเทศ แต่ก็ไม่ชัดเจนว่าพวกเขาสามารถประนีประนอมได้กี่หน่วยงาน
ชาวรัสเซียกำหนดเป้าหมายเป็นชาวรัสเซีย?
สิ่งที่เรารู้ก็คือมัลแวร์มีลักษณะร่วมกันกับมัลแวร์อีกสองสายพันธุ์: Trojan-Ransom.Win32.Xorist และ Trojan-Ransom.MSIL.Agent พวกเขาทั้งหมดมีที่อยู่อีเมลเดียวกันซึ่งระบุไว้ในบันทึกเรียกค่าไถ่ Xorist ถูกพบครั้งแรกในปี 2010 และถูกอธิบายว่าเป็นตระกูลของ Windows ransomware ที่มีเป้าหมายเป็นผู้ใช้ภาษารัสเซียและภาษาอังกฤษ
CryWiper เขียนด้วย C++ ซึ่ง Ars Technica กล่าวว่าเป็นทางเลือกที่ไม่ธรรมดาและบ่งชี้ถึงความเป็นไปได้ที่แฮ็กเกอร์จะใช้อุปกรณ์ที่ไม่ใช่ Windows ในการเขียนโค้ด
โพสต์เดียวกันยังอ้างว่ามัลแวร์นั้นค่อนข้างคล้ายกับ IsaacWiper ซึ่งเป็นมัลแวร์ล้างข้อมูลที่เพิ่งกำหนดเป้าหมายไปที่บริษัทในยูเครน เห็นได้ชัดว่า Wiper ทั้งสองใช้อัลกอริทึมเดียวกันในการสร้างตัวเลขสุ่มเทียมที่เขียนทับข้อมูลในไฟล์ และทำให้ข้อมูลเสียหายอย่างถาวร
ผู้โจมตีจะใช้อัลกอริทึม Mersenne Vortex PRNG ซึ่งเป็นคุณสมบัติที่ผิดปกติอีกประการหนึ่ง
ที่ปัดน้ำฝนเป็นหนึ่งในมัลแวร์ที่อันตรายที่สุด เนื่องจากจุดประสงค์เดียวคือการ “ล้าง” ข้อมูลทั้งหมดจากอุปกรณ์เป้าหมายอย่างถาวร เพื่อป้องกันการโจมตีดังกล่าว ผู้ใช้ควรระมัดระวังในการดาวน์โหลดไฟล์แนบ และเพื่อให้แน่ใจว่าซอฟต์แวร์และฮาร์ดแวร์ของตนได้รับการอัปเดตอยู่เสมอ ขอแนะนำให้มีโซลูชั่นรักษาความปลอดภัยทางไซเบอร์ที่ล้ำสมัย (เปิดในแท็บใหม่)
ผ่าน: Ars Technica (เปิดในแท็บใหม่)