I kølvandet på flere incidents i danske virksomheder med "CTB-locker" byder dagen i dag på endnu en stribe infektioner, hvor værdifulde data krypteres og udsættes for løsesumskrav.
CSIS ønsker hermed at advare om flere aktive incidents som involverer kidnapningssoftwaren kendt som "Cryptowall" - mere specifikt version 3.0. Denne krypterer alle data på harddisken samt alle delte drev ved brug af RSA-2048, hvorefter den afpresser ofret for kontanter (virtuel valuta). Krypteringen, som er asymetrisk og kraftig, er yderst vanskelig, omend umulig at knække. Den bedste løsning er at reinstallere systemet og indlæse data fra backup og derefter tilsikre en højere grad af sikkerhed og awareness. Man skal ikke betale nogen løsesum.
Denne version af Cryptowall har introduceret brug af "i2p proxy" som kamouflerer trafikken og gør det betragteligt vanskeligere at spore infrasturen bag denne gruppe af it-kriminelle.
Den nye variant af Cryptowall taler udelukkende Engelsk, men betalingssiden understøtter følgende sprog:
US English
IT
FR
ES
DE
Skærmen som frembringes hos ofret indeholder følgende anvisninger: 
CSIS Secure DNS og Heimdal PRO beskytter mod denne og ældre varianter af Cryptowall.
Vi har blokeret flere end 70 forskellige domæner som anvendes som C&C servere, og hvorfra den pågældende nøgle som anvendes til at kryptere data udstedes fra. Hvis kontakt til C&C serveren ikke kan etableres, fordi den blokeres i CSIS Secure DNS, afværges den del af funktionen som krypterer data og efterlader det til en simpel opgave at fjerne denne malware.
Et lille udsnit af Cryptowall domæner findes herunder (mellemrum indlagt af CSIS)
blessedcode.net:8080
fleep.com:8081
fleep.net:8081
amaru.me:8081
macrobiotics-japan.com:8081
naomis-kitchen.com:8081
fleep.jp:8081
lensprojapan.com:8081
aquionics.net:2525
tgp.com.my:2525
mlmsoftware.com.my:2525
Antivirus detektion af Crytowall og CTB-locker er desværre generelt yderst lav ved distribution.
Cryptowall kan kædes sammen med distribution af en anden malware, som er kendt som "Dyreza". Dette er en regulær informationstyv som høster data fra systemer som den kompromitterer. Samme fremgangsmetode, at anvende en Dyreza infektion for dernæst at installere en "CryptoWall", er tidligere observeret i forbindelse med ZeuS Gameover og Cryptolocker banden.
Vi følger denne udvikling tæt og anbefaler alle vores kunder at tilsikre gode backup procedurer og incident response.
↧
CSIS Blog: CryptoWall rammer danske virksomheder
↧