Μια ransomware παραλλαγή που εμφανίστηκε για πρώτη φορά πριν από δύο μήνες έχει χτίσει ένα όνομα για τον εαυτό της με συνεχείς ενημερώσεις, βελτιωμένη λειτουργικότητα, και την αδυναμία να επινοήσει έναν κατάλληλο αλγόριθμο κρυπτογράφησης που ο Fabian Wosar της Emsisoft να μην μπορεί να σπάσει.Ονομάζεται Apocalypse (Αποκάλυψη) και το ransomware ξεχωρίζει από άλλα παρόμοια εργαλεία, επειδή χρησιμοποιεί μια μη αυτόματη μέθοδο διανομής, στηριζόμενο στους δημιουργούς του πραγματοποιώντας brute-force σε μη ασφαλής διακομιστές RDP (Remote Desktop Protocol) και εγκαθιστώντας το Αpocalypse με το χέρι.
Οι εμπειρογνώμονες της Fox-IT είχαν προειδοποιήσει στις αρχές Μαΐου σχετικά με την αύξηση των RDP brute-force επιθέσεων που στόχευαν ειδικά στην εγκατάσταση ransomware. Το Apocalypse εμφανίστηκε για πρώτη φορά περίπου μία εβδομάδα μετά αφότου βγήκε αυτή η έκθεση.
Πριν το Apocalypse, οι malware αναλυτές ανακάλυψαν και νέες εκδόσεις του παλαιότερου Bucbi ransomware, το οποίο επίσης χρησιμοποιούσε RDP brute-force επιθέσεις για να εξαπλωθεί σε εταιρικά δίκτυα.
Όσον αφορά το Αpocalypse, το ransomware χρησιμοποιεί έναν απλοϊκό αλγόριθμο κρυπτογράφησης με βάση το XOR, ο οποίος είναι ο λόγος που ο Fabian Wosar της Emsisoft κατάφερε να τον σπάσει στις αρχές του μήνα και στη συνέχεια να προσφέρει ένα δωρεάν Decrypter που μπορεί να ξεκλειδώσει τα αρχεία χωρίς να πληρωθούν τα λύτρα.
Οι συγγραφείς του Apocalypse αντιστάθμισαν την κατάσταση με μια ενημέρωση του κώδικά τους και κάνοντας obfuscation με VMProtect, μια εφαρμογή για την προστασία λογισμικού κατά του reverse engineering και το σπάσιμο του κώδικα.
Ο Wosar δεν επαναπαύτηκε και κυκλοφόρησε ένα Decrypter και για αυτή την έκδοση, η οποία ονομάστηκε ApocalypseVM.
Μια εβδομάδα μετά από αυτό, οι ransomware συγγραφείς του Αpocalypse κυκλοφόρησαν μια νέα έκδοση, και εκείνη περιείχε ένα είδος «μηνύματος» για τους Emsisoft ερευνητές.
Αυτή δεν είναι η πρώτη φορά που η Emsisoft και ο Fabian Wosar εκνευρίζουν ransomware προγραμματιστές, κάτι παρόμοιο είχε συμβεί όταν δημιούργησε ένα Decrypter για το Radamant ransomware αυτό το χειμώνα.
«Λόγω της φύσης του λογισμικού προστασίας από επιθέσεις είναι μάλλον αναποτελεσματικό. Εάν ο εισβολέας καταφέρει να αποκτήσει πρόσβαση στο σύστημα μέσω του απομακρυσμένου ελέγχου (remote control), μπορεί απλά να απενεργοποιήσει οποιοδήποτε λογισμικό προστασίας έχει εγκατασταθεί ή να προσθέσει το κακόβουλο λογισμικό στη λίστα αποκλεισμού του λογισμικού προστασίας», εξηγεί η Emsisoft. «Ως εκ τούτου, είναι επιτακτική ανάγκη να αποτρέψουμε τον επιτιθέμενο από το να αποκτήσει πρόσβαση στο σύστημα.»
Για το σκοπό αυτό, συνιστάται στους sysadmins να χρησιμοποιούν ισχυρούς κωδικούς πρόσβασης για RDP συνδέσεις τους, ή ακόμα καλύτερα, απλά να απενεργοποιήσουν το πρωτόκολλο αν δεν το χρειάζονται.
