Prema rezultatima istraživanja koje je na Virus Bulletin-u prezentovao bezbednosni istraživač iz kompanije Kaspersky Lab, Kurt Baumgartner, članovi kriminalne grupe Strong Pity bili su veoma aktivni ovog leta, pri čemu su targetirali korisnike koji su tražili alate za enkripciju, kao što WinRAR i TrueCrypt. Ovim napadima su najviše bili pogođeni korisnici u Italiji I Belgiji, kao i u Turskoj, severnoj Africi i na Bliskom Istoku.
Strong Pity predstavlja tehnički potkovanu APT pretnju čija je glavna oblast interesovanja enkripcija podataka i komunikacija. Prethodnih nekoliko meseci, stručnjaci iz kompanije Kaspersky Lab primetili su značajan porast u broju napada na korisnike koji su tražili alate za enkripciju: WinRAR i True Crypt.
Strong Pity malver uključuje komponente koje daju napadačima potpunu kontrolu nad sistemom žrtve, omogućuje im da kradu sadržaj sa diska kao i da preuzimaju dodatne module kako bi sakupili kontakte. Kompanija Kaspersky Lab je do sada detektovala posete Strong Pity veb stranicama i prisustvo Strong Pity komponenti u više od hiljadu targetiranih sistema.
„Watering holes“ stranice i inficirani paketi za instalaciju
Kako bi namamili žrtve, napadači prave lažne veb stranice (watering holes). U jednom slučaju, oni su izmenili dva slova u imenu domena kako bi zavarali korisnike i naveli ih da misle kako su posetili legitimnu stranicu za instaliranje WinRAR softvera. Nakon toga, napadači su postavili link na ovaj maliciozni domen na WinRAR veb stranici u Belgiji, pri čemu su zamenili legitiman link sa inficiranim. Kada su korisnici pretraživali stranicu, oni su dolazili do Strong Pity inficiranog paketa za instalaciju. Prvu detekciju uspešnog preusmeravanja registrovala je kompanija Kaspersky Lab, 28. maja 2016. godine.
U otprilike isto vreme, 24. maja, stručnjaci iz kompanije Kaspersky Lab počeli su da uočavaju maliciozne aktivnosti na italijanskoj WinRAR veb stranici. U ovom slučaju, korisnici nisu bili preusmeravani na lažnu veb stranicu, već su dobijali zahtev za preuzimanje malicioznog Strong Pity paketa za instalaciju direktno sa stranice.
Strong Pity je takođe usmeravao korisnike sa popularnih stranica za deljenje softvera ka True Crypt paketima za instalaciju koji su bili inficirani trojan virusom. Ova aktivnost je i dalje bila aktuelna krajem septembra 2016. godine.
Maliciozni linkovi sa WinRAR distribucionih stranica su uklonjeni, ali je lažna veb stranica True Crypt je i dalje bila aktivna krajem septembra.
Geografska rasprostranjenost žrtava
Podaci kompanije Kaspersky Lab ukazuju na to da se za samo nedelju dana malver sa distribucione stranice u Italiji pojavio na više stotina sistema širom Evrope i severne Afrike/Bliskog Istoka. Tokom celog leta, Italija (87 odsto), Belgija (5 odsto) i Alžir (4 odsto) bili su najviše pogođeni ovim napadima. Žrtve sa inficirane stranice u Belgiji su bile u sličnoj situaciji, pri čemu su korisnici iz ove zemlje činili više od polovine (54 odsto) uspešnih napada.
Napadi na korisnike preko lažne True Crypt veb stranice bili su intenzivirani tokom maja 2016. godine, pri čemu je više od 95 odsto žrtava bilo locirano u Turskoj.
,,Tehnike koje koriste ovi sajber kriminalci su veoma inteligentne. One podsećaju na pristup koji su tokom 2014. godine prkatikovali članovu grupe the Crouching Yeti/Energetic Bear, a koji je podrazumevao inficiranje legitimnih paketa za instalaciju IT softvera za industrijske kontrolne sisteme i kompromitovanje pravih stranica za distribuciju. Prisustvo ovih taktika nije dobro i predstavlja opasan trend koji bezbednosna industrija mora da reši. Želja za privatnošću i inegritetom podataka ne bi trebalo da izloži pojedince posledicama „watering hole“ napada. Ovi napadi su suštinski neprecizni i nadamo se da ćemo pokrenuti dublju raspravu o potrebi za lakšim i poboljšanim načinom dostave ekripcijskih podataka”, izjavo je Kris Baumgartner, glavni bezbednosni istraživač u kompaniji Kaspersky Lab.
Proizvodi kompanije Kaspersky Lab detektuju sve komponente Strong Pity malvera kao što su: HEUR:Trojan.Win32.StrongPity.gen i Trojan.Win32.StrongPity.* kao i druge generičke detekcije.