Atak ransomware wymierzony w użytkowników Office

Podatności typu zero-day to dziury w oprogramowaniu wykrywane przez cyberprzestępców wcześniej, niż odkryje je producent. Nazwa ta oznacza, że od momentu pojawienia się luki na czarnym rynku twórcy programów i systemów operacyjnych mają „zero dni” na załatanie dziur. Muszą działać błyskawicznie, ale i tak często jest już za późno.

Według informacji przedstawionych przez firmę Avanan, która specjalizuje się w cyberbezpieczeństwie, przynajmniej 57 proc. użytkowników Office 365 dostało 22 czerwca mail o charakterze phishingu. Według statystyk firmy Microsoft w pierwszym kwartale tego roku ilość użytkowników korzystających z oprogramowania biurowego firmy wynosiła 18,2 mln subskrybentów. Może to oznaczać, że ponad 10 mln użytkowników mogło być celem cyberataków.

Atak przy pomocy złośliwego oprogramowania Cerber wpisywał się w typowy scenariusz kampanii phishingowej. Na skrzynki pocztowe osób korzystających z Office 365 została przesłana wiadomość e-mail. W załączniku znajdował się plik o rozszerzeniu .dotm, które jest używane jako wzór dokumentu przez programy Microsoft, jednak może zawierać makra oraz skrypty. Hakerzy wykorzystali prawdopodobnie te ostatnią właściwość pliku i dopasowali do niego wirus tak, aby uruchamiał się zaraz po otworzeniu w programie biurowym. Cerber to wirus typu ransomware, który szyfrował pliki na komputerach ofiar. 

Szyfrowanie użyte przy ataku Cerberem to powszechnie używane AES-265, którego jeszcze nikomu do tej pory nie udało się złamać. Okup za odzyskanie swoich danych wynosił 1,24 Bitcoina, co przy kursie z 22 czerwca dawało około 500 dolarów amerykańskich. Nie jest znana skala zjawiska ani dokładna liczba zarazonych komputerów, które uległy atakowi. Wiadomo, że firma Microsoft zaczęła blokować załączniki w wiadomościach e-mail dobę po wykryciu ataku przez firmę Avanan.

Czytaj też: Wirus zaatakuje terminale płatnicze