Ransomware TorrentLocker nově útočí přes Dropbox

Nové varianty ransomwaru TorrentLocker na rozdíl od klasických mechanismů útoku neposílají nakažené dokumenty přímo, ale pošlou jen odkaz na oblíbené cloudové úložiště Dropbox.

Proklikem na odkaz dojde ke stažení JavaScript souboru, který se tváří jako faktura. A při pokusu o její otevření dojde ke stažení dalšího zašifrovaného kódu do paměti počítače a aktivování TorrentLockeru. Zákeřnost nových variant souvisí i s tím, že s cílem předejít odhalení používá instalační techniky NSIS (Nullsoft Scriptable Install System).

Samotná zpráva vypadá důvěryhodně a informuje o faktuře související s organizací, ve které oběť pracuje. Nechybí ani základní platební údaje. Tento způsob šíření je nicméně velmi nebezpečný, protože bez znalosti tohoto mechanismu neumožňuje odchycení problémového emailu na bezpečnostních branách - jednoduše proto, že email žádný zákeřný soubor neobsahuje a odkaz směřuje na legitimní web.

Jak se bránit

Vzhledem k posunu ve způsobech útoků je důležité, aby organizace posílily bezpečnostní opatření a věnovaly zvýšenou pozornost seznámení zaměstnanců s novými druhy nebezpečí využívajícími prvky sociálního inženýrství.

A také aby zaměstnancům ukázaly, jak mohou s ochranou pomoci. V případě nových typů hrozeb je vhodné využívat bezpečnostní nástroje - například uživatelé řešení značky Trend Micro TippingPoint jsou již před novými variantami TorrentLockeru chráněni.

Společnost Trend Micro s Dropboxem spolupracuje na řešení tohoto nebezpečí a aktuálně by měly být všechny nakažené soubory již smazané a účty zablokované.

Nejnovější varianty ransomware TorrentLocker detekovaly laboratoře společnosti Trend Micro jako: