Kilka dni temu firma bezpieczeństwa IT Recorded Future poinformowała o nowym typie zagrożenia wykrytym w sieci Dark Web. Ransomware o nazwie Karmen dystrybuowany jest w modelu RaaS (ransomware-as-a-service) jako wariant wirusa Hidden Tear, szyfrującego projektu open-source. Podobnie jak wiele współczesnych zagrożeń wirus szyfruje dane ofiar silnym protokołem AES-256, ale jego prawdziwym wyróżnikiem jest wyjątkowo złośliwe traktowanie poszkodowanych. Jeżeli infekując komputer Karmen wykryje na nim środowisko sandboxowe (specjalistyczny moduł bezpiecznego “testowania” wirusów) lub oprogramowanie analityczne, mogące ostrzec użytkownika o ataku to po zaszyfrowaniu jego danych wirus automatycznie usuwa własne narzędzie deszyfrujące. W konsekwencji nawet gdy ofiara zapłaci szantażystom to jej pliki będą już nie odzyskania.
W ten sposób cyberprzestępcy zdają się wysyłać sygnał do swoich potencjalnych ofiar — komentuje Krystian Smętek, inżynier systemowy rozwiązań StorageCraft ShadowProtect SPX z firmy Anzena –
“Jeśli próbujesz dodatkowo zabezpieczać komputer to po naszym ataku na pewno nie odzyskasz swoich danych”. Na szczęście jeżeli tylko mamy aktualny backup groźby agresorów pozostaną bez pokrycia.
Eksperci firmy StorageCraft przypominają, że nowoczesne systemy tworzenia kopii bezpieczeństwa w przypadku awarii lub infekcji potrafią przywrócić nawet kilka TB danych odciętego systemu w czasie 15 minut. O taką ochronę powinny szczególnie zadbać firmy, w których każda minuta niesprawnego serwera bazodanowego oznacza realne straty. Zwłaszcza, że to właśnie one – chętnie inwestując w nowoczesne technologie bezpieczeństwa IT z elementami sandboxingu – będą głównym celem ataków Karmen i jego naśladowców.
Wedle informacji firmy Recorded Future wirus opracowany przy współpracy niemieckich i rosyjskich cybeprzestępców trafił na wirtualny czarny rynek w limitowanej liczbie 25 egzemplarzy. Firma Anzena przestrzega, że może to być badanie rynku przed masową kampanią spamową rozprowadzającą zagrożenie w sieciach firmowych.