องค์กรสาธารณะในรัสเซีย รวมถึงเทศบาลและศาล กำลังตกเป็นเป้าหมายของมัลแวร์สายพันธุ์ใหม่ที่ค่อนข้างลับๆ ล่อๆ
CryWiper สวมรอยเป็นแรนซัมแวร์และพยายามขู่กรรโชกเงินจากเหยื่อ (0,5 bitcoins หรือประมาณ 9000 ดอลลาร์ ณ เวลาปัจจุบัน) แต่เป้าหมายของเขาไม่ใช่เพื่อรับเงินแต่เพื่อทำลายไฟล์ทั้งหมดที่พบในเทอร์มินัลที่ติดไวรัส
นักวิจัยด้านความปลอดภัยทางไซเบอร์ของ Kaspersky รายงานการโจมตีทางไซเบอร์ที่ "ไม่เหมือนใคร" ในรัสเซีย ซึ่งไฟล์ที่ติดไวรัสจะได้รับนามสกุลใหม่: .cry (จึงได้ชื่อว่า CryWiper) ในขณะที่สื่อท้องถิ่นกล่าวว่าผู้โจมตีมุ่งเป้าไปที่สำนักงานและศาลของนายกเทศมนตรีของประเทศ แต่ก็ไม่ชัดเจนว่ามีหน่วยงานกี่แห่งที่สามารถประนีประนอมได้
ชาวรัสเซียกำหนดเป้าหมายเป็นชาวรัสเซีย?
สิ่งที่เรารู้ก็คือมัลแวร์มีลักษณะร่วมกันกับมัลแวร์อีกสองสายพันธุ์: Trojan-Ransom.Win32.Xorist และ Trojan-Ransom.MSIL.Agent พวกเขาทั้งหมดมีที่อยู่อีเมลเดียวกันซึ่งระบุไว้ในบันทึกเรียกค่าไถ่ Xorist ถูกพบครั้งแรกในปี 2010 และถูกอธิบายว่าเป็นตระกูลของ Windows ransomware ที่มีเป้าหมายเป็นผู้ใช้ภาษารัสเซียและภาษาอังกฤษ
CryWiper เขียนด้วย C++ ซึ่ง Ars Technica กล่าวว่าเป็นทางเลือกที่ไม่ธรรมดาและบ่งชี้ถึงความเป็นไปได้ที่แฮ็กเกอร์จะใช้อุปกรณ์ที่ไม่ใช่ Windows ในการเขียนโค้ด
โพสต์เดียวกันยังอ้างว่ามัลแวร์นั้นค่อนข้างคล้ายกับ IsaacWiper ซึ่งเป็นมัลแวร์ล้างข้อมูลที่เพิ่งกำหนดเป้าหมายไปที่บริษัทในยูเครน เห็นได้ชัดว่า Wiper ทั้งสองใช้อัลกอริทึมเดียวกันในการสร้างตัวเลขสุ่มเทียมที่เขียนทับข้อมูลในไฟล์ และทำให้ข้อมูลเสียหายอย่างถาวร
ผู้โจมตีจะใช้อัลกอริทึม Mersenne Vortex PRNG ซึ่งเป็นคุณสมบัติที่ผิดปกติอีกประการหนึ่ง
ไวเปอร์เป็นหนึ่งในมัลแวร์สายพันธุ์ที่อันตรายที่สุด เนื่องจากจุดประสงค์เพียงอย่างเดียวคือ "ล้าง" ข้อมูลทั้งหมดบนอุปกรณ์เป้าหมายอย่างถาวร เพื่อป้องกันการโจมตีดังกล่าว ผู้ใช้ควรระมัดระวังเมื่อดาวน์โหลดไฟล์แนบ และตรวจสอบให้แน่ใจว่าซอฟต์แวร์และฮาร์ดแวร์ของตนเป็นปัจจุบันเสมอ นอกจากนี้ ยังแนะนำให้มีโซลูชันความปลอดภัยทางไซเบอร์ที่ล้ำสมัย (เปิดในแท็บใหม่)
ผ่าน: Ars Technica (เปิดในแท็บใหม่)
