9:38
26/6/2017

W piątek na adresy kancelarii prawnych skierowana została złośliwa wiadomość, w której ktoś podszywając się pod GIODO zapowiadał kontrolę w kancelarii. Wiadomość nie miała treści, a jedynie załącznik. Jeśli ktoś go otworzył, jego komputer został zaszyfrowany.

Oto jak wyglądała wiadomość, rozsyłana z adresu “kanelaria@giodo.gov.pl“:

Poza logotypem GIODO, wiadomość nie zawiera żadnej treści. Ma jednak załącznik: Powiadomienie o planowanej kontroli GIODO.PDF.zip

Po rozpakowaniu, ukazuje się instrukcja (plik TXT o nazwie “Hasło do powiadomienia o kontroli.txt“) zawierająca hasło, do kolejnego archiwum, tym razem RAR: “Powiadomienie o kontroli GIODO.rar“:

Hasło brzmi:

DouME7+23cs

A po rozpakowaniu przy jego pomocy archiwum RAR, zobaczycie plik:

Powiadomienie o planowanej kontroli GIODO_PDF.vbs

MD5 849f71115fd8277e76259ac9452dab5b
SHA1 05d067877f27bd0e411e565b6f0990e49697c6d4
SHA256 e24feddf1abdbcab875213e374fabab71851e334bde1cbd60c888c71f642dfb9

Plik ten zawiera złośliwe oprogramowanie typu ransomeware, które szyfruje dysk ofiary i domaga się okupu. Malware po zaszyfrowaniu plików na komputerze umieszcza następujący plik tekstowy:

!!!@##-.-ODZYSKAJ-DANE-.-##@!!!.txt

Widnieje tam następująca treść:

Masz problem ze znalezieniem potrzebnych danych? Nie możesz otworzyć swoich plikow?
Wszystkie istotne pliki zostały zaszyfrowane!
Aby odzyskać pliki skontaktuj się z nami pod adresem: 3NIGMA@0.PL lub 3NIGMA2@PROTONMAIL.COM

Odszyfrowac Twoje pliki mozna tylko przy pomocy dedykowanego programu deszyfrującego, wraz z jednorazowym kluczem wygenerowanym unikalnie dla Ciebie!
Dwa pliki odszyfrujemy bez opłaty za pozostałe będziecie Państwo musieli zapłacić 200$

Radzimy decydować się szybko, 72 godziny od zaszyfrowania opłata zostanie podniesiona do 400$.

IP=XXXX ID=XXXX Data=XXXX

Ile jest ofiar?

Podsumujmy. Wiadomość na pierwszy rzut oka jest podejrzana nawet dla “nietechnicznego” prawnika. Wielu z prawników od razu zauważyło haczyk i podesłało nam tego maila. Czy to oznacza, że atak jest nieskuteczny? Nie do końca…

Autor kampanii obchodzi filtry GMaila, poprzez podwójne pakowanie — rar na hasło w zipie. Tak, wielu prawników korzysta z tego dostawcy poczty do załatwiania swoich firmowych spraw…

Kampania została rozesłana w piątek pod koniec dnia. To też podniesie liczbę ofiar. Z naszych doświadczeń podczas wykonywania ataków socjotechnicznych na polskie firmy wynika, że wysłanie fałszywego e-maila pod koniec dnia pracy, kiedy ludzie są zmęczeni, daje ok. 30% większą liczbę ofiar niż przesłanie tej samej wiadomości rano. A jeśli zrobimy to pod koniec dnia i w dodatku w piątek…

Wracając jednak do pytania ze śródtytułu. Ile jest ofiar, wśród niewątpliwie inteligentnych osób, jakimi są prawnicy? Kilka na pewno — wiemy o nich z pierwszej ręki. Tym razem wszystko wskazuje, że atakujący jedynie zaszyfrował im pliki, ale ponieważ złośliwe oprogramowanie może uruchamiać zewnętrzne binarki, niewykluczone że w kolejnej iteracji, kancelarie prawne będą okradane ze swoich danych. A te, w niektórych kręgach są na wagę złota…

Jeśli autor złośliwego oprogramowania nas czyta i chciałby się anonimowo “pochwalić” statystykami, czekamy na kontakt :)

Ilu prawników zapłaci okup?

Pewnie wielu, bo prawnicy to taka ciekawa grupa zawodowa, która często nie dysponuje profesjonalną infrastrukturą IT w swojej kancelarii i nie posiada poprawnego systemu backupów… Tu, w przeciwieństwie do innych spraw, tradycyjne metody walki prawników ze złem, czyli pisma i wezwania, nie zrobią na atakującym wrażenia.

Gdyby któraś z kancelarii prawnych chciała przetestować swoje zabezpieczenia i wdrożyć niewielkie, ale znacznie podnoszące bezpieczeństwo pracy w IT zasady i oprogramowanie, dajcie nam znać. Realizowaliśmy w tej grupie zawodowej kilka projektów i dość dobrze rozumiemy potrzeby i specyfikę pracy prawników :)

Przeczytaj także:

9 komentarzy

Dodaj komentarz
  1. Adres nadawcy jest z błędem. W polu OD jest kanelaria@giodo.gov.pl (bez “c”).

  2. “wygenerowanym unikalnie dla Ciebie!” – jaki kulturalny szantaż. Widać, że szanują odbiorcę maila.

    • Powinno być “wygenerowanym unikalnie dla Państwa”. “Ciebie” w oficjalnej korespondencji? A fe!

  3. Sorry, tyle osób daje się wrobić tą i podobnymi metodami że pora już oficjalnie wdrożyć termin pt.: “selekcja naturalna”.

  4. Aż kusi by dać sobie zaszyfrować odseparowaną maszynę wirtualną, na której będzie doc z makrem i treścią zachecającą do jego odpalenia typu “hasła do kont, by pobrać aktualne, włącz makra” *wink, wink* po czym wysłać zaszyfrowany przez nich taki plik z prośbą o odszyfrowanie, bo jest mega ważny i bez niego nie mamy nawet dostępu do banku. :P Odszyfrują, zajrzą do niego, odpalą makra z ciekawości i… jak w pewnym kawale: Bóg się śmieje, bo złodziej złodzieja okrada.

  5. Z wyjątkiem e-Sądu w Lublinie nasze sądownictwo jest analogowe – papuga musi drukować i wysyłać pisma pocztą tradycyjną. Nie lepiej to wszystko robić na oddzielnym stanowisku, które jest zawsze off-line?

  6. Właśnie w piątek zastanawiałem się, czy opisać Niebezpiecznikowi sprawę, bo analogiczna wiadomość została przysłana do naszej kancelarii. Ostatecznie szybko trafiła do kosza i stwierdziłem, że jest to na tyle klasyczny atak, że nie warto zawracać nim głowy. Na szczęście skierowana do nas wiadomość trafiła nie na skrzynkę ogólną, lecz na skrzynkę konkretnego prawnika, którego podejrzenia wzbudził sposób rzekomego zawiadomienia o kontroli. Choć informatyzacja administracji postępuje, to jednak nie nastały jeszcze czasy, w których organy pierwsze pismo w sprawie kierują za pośrednictwem e-mail. Innymi słowy, pismo to nadal pismo.

  7. Ma ktos próbke?

  8. No to teraz te dane będą chronione czymś więcej niż tylko tajemnicą adwokacką (-:

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.