Οι ερευνητές εντόπισαν ένα νέο στέλεχος του ransomware που χρονολογείται από το 2019 και στοχεύει ιδιώτες και μικρές επιχειρήσεις, απαιτώντας μικρά λύτρα από κάθε πελάτη και όχι τα ποσά που συχνά απαιτούν εκατομμύρια δολάρια που ζητούν οι τυπικοί ηθοποιοί ransomware.
Το TZW είναι το πιο πρόσφατο στέλεχος της οικογένειας ransomware Adhubllka, το οποίο εμφανίστηκε για πρώτη φορά τον Ιανουάριο του 2020, αλλά ήταν ήδη ενεργό το προηγούμενο έτος, αποκάλυψαν ερευνητές από την εταιρεία ανάλυσης ασφαλείας και λειτουργιών Netenrich σε μια ανάρτηση ιστολογίου που δημοσιεύθηκε αυτήν την εβδομάδα.
Ακόμη πιο σημαντική από την ανακάλυψη του στελέχους είναι η διαδικασία που ανέλαβαν οι ερευνητές για να το αναγνωρίσουν σωστά. Με τα χρόνια, πολλά από τα δείγματα του Adhubllka έχουν ταξινομηθεί λανθασμένα ή/και λανθασμένα σε κάποια άλλη οικογένεια ransomware, λέει ο Rakesh Krishnan, ανώτερος αναλυτής απειλών στη Netenrich.
«Αυτό θα προκαλούσε σύγχυση στους κυνηγούς απειλών/τους ερευνητές ασφαλείας ενώ κάνουν μια αναφορά περιστατικού», λέει. Πράγματι, οι ερευνητές αναφέρουν ότι πολλοί κινητήρες είχαν εντοπίσει προηγουμένως TZW αλλά βρήκαν ίχνη άλλου κακόβουλου λογισμικού, όπως το CryptoLocker, στο δείγμα.
Επιπλέον, άλλα ονόματα είχαν ήδη εκχωρηθεί στο ίδιο κομμάτι, συμπεριλαμβανομένων των ReadMe, MMM, MME, GlobeImposter2.0, τα οποία ανήκουν στην οικογένεια ransomware Adhubllka. Όλη αυτή η σύγχυση απαιτούσε περαιτέρω διερεύνηση της γενεαλογίας του στελέχους ransomware για την ταυτοποίησή του με την κατάλληλη απόδοση, λέει ο Krishnan.
«Αυτή η έρευνα ρίχνει επίσης φως στην ανίχνευση μιας οικογένειας ransomware στην προέλευσή του χρησιμοποιώντας κανάλια επικοινωνίας και άλλα μέσα», συμπεριλαμβανομένων των email επικοινωνίας, των σημειώσεων λύτρων και της μεθόδου εκτέλεσης, τα οποία έπαιξαν ζωτικό ρόλο στην ανάλυση. αυτός προσθέτει.
Racking Adhubllka
Πρώτα η Adhubllka κέρδισε περισσότερη προσοχή τον Ιανουάριο του 2020, αλλά ήταν «πολύ ενεργός» το προηγούμενο έτος, σημείωσαν οι ερευνητές. Η ομάδα απειλών TA547 χρησιμοποίησε παραλλαγές Adhubllka στις καμπάνιες της που στοχεύουν διάφορους τομείς της Αυστραλίας το 2020.
Ένας βασικός λόγος που ήταν τόσο δύσκολο για τους ερευνητές να προσδιορίσουν το TZW ως spinoff του Adhubllka είναι λόγω των μικρών απαιτήσεων για λύτρα που κάνει συνήθως η ομάδα - $800 έως $1,600. Σε αυτό το χαμηλό επίπεδο, τα θύματα συχνά πληρώνουν τους επιτιθέμενους και οι επιτιθέμενοι συνεχίζουν να πετούν κάτω από τα ραντάρ.
«Αυτό το ransomware, όπως και άλλα, παραδίδεται μέσω Phishing καμπάνιες, αλλά η μοναδικότητα έγκειται στο ότι στοχεύουν μόνο ιδιώτες και εταιρείες μικρού μεγέθους, επομένως δεν θα κάνουν μεγάλες ειδήσεις στο κανάλι των μέσων ενημέρωσης», λέει ο Krishnan. «Ωστόσο, αυτό δεν σημαίνει ότι η [Adhubllka] δεν θα μεγαλώσει τον επόμενο καιρό, καθώς είχαν ήδη κάνει τις απαραίτητες ενημερώσεις στην υποδομή τους».
Στην πραγματικότητα, στο μέλλον, οι ερευνητές αναμένουν ότι αυτό το ransomware μπορεί να μετονομαστεί με άλλα ονόματα. άλλες ομάδες μπορούν επίσης να το χρησιμοποιήσουν για να ξεκινήσουν τις δικές τους καμπάνιες ransomware.
«Ωστόσο, όσο ο παράγοντας της απειλής δεν αλλάζει τον τρόπο επικοινωνίας του, θα μπορούμε να εντοπίζουμε όλες αυτές τις περιπτώσεις πίσω στην οικογένεια Adhubllka», λέει ο Krishnan.
Κλειδιά αναγνώρισης
Πράγματι, το κλειδί που χρησιμοποίησαν οι ερευνητές για να συνδέσουν την τελευταία καμπάνια με την Adhubllka ήταν να παρακολουθήσουν προηγουμένως συνδεδεμένους τομείς Tor που χρησιμοποιούσε ο ηθοποιός, με την ομάδα να αποκαλύπτει στοιχεία μέσα από το σημείωμα λύτρων που έπεσε στα θύματα για να το εντοπίσουν στην πηγή.
Στο σημείωμα, ο ηθοποιός της απειλής ζητά από τα θύματα να επικοινωνήσουν μέσω μιας πύλης θυμάτων που βασίζεται σε Tor για να αποκτήσουν κλειδιά αποκρυπτογράφησης μετά από πληρωμή λύτρων. Η σημείωση ανέφερε ότι η ομάδα άλλαξε το κανάλι επικοινωνίας της από v2 Tor Onion URL σε v3 Tor URL, «επειδή η κοινότητα Tor κατάργησε τους τομείς v2 Onion», σύμφωνα με την ανάρτηση.
Επιπλέον, μια πρόσθετη πρόταση στη σημείωση - «ο διακομιστής με τον αποκρυπτογραφητή σας βρίσκεται σε ένα κλειστό δίκτυο Tor» - εμφανίστηκε μόνο σε δύο νέες παραλλαγές Adhubllka: TZW και U2K, σύμφωνα με τους ερευνητές, οι οποίες περιόρισαν περαιτέρω την απόδοση.
Άλλες ενδείξεις που έδειχναν ξεκάθαρα την τελευταία παραλλαγή του Adhubllka ήταν η χρήση της διεύθυνσης ηλεκτρονικού ταχυδρομείου από την καμπάνια [προστασία μέσω email], αναφέρεται ευρέως ότι ανήκει στην ομάδα ransomware και η σύνδεσή του με το δείγμα παραλλαγής MD5 του Adhubllka που εντοπίστηκε το 2019.
Η έρευνα συνολικά δείχνει πώς ransomware είναι προσεκτικά κατασκευασμένο για να απομακρύνει τους κυνηγούς απειλών από τα ίχνη των εγκληματιών του κυβερνοχώρου, ενισχύοντας τη σημασία της άμυνας από επιθέσεις με τη δημιουργία μιας λύσης ασφάλειας τελικού σημείου, λέει ο Krishnan.
"Ωστόσο, όταν ένα ransomware είναι πρόσφατα δημιουργημένο/κωδικοποιημένο, μπορεί να αποτραπεί μόνο με βασική εκπαίδευση ασφάλειας, όπως να μην κάνετε κλικ σε κακόβουλους συνδέσμους που παραδίδονται μέσω email", λέει.
Πράγματι, οι πιο σημαντικές προστασίες για τους οργανισμούς βρίσκονται μέσα αποτροπή ransomware από την είσοδο σε ένα περιβάλλον εξαρχής, «που σημαίνει αναζήτηση ανωμαλιών συμπεριφοράς, κλιμάκωση προνομίων και εισαγωγή ύποπτων αφαιρούμενων μέσων σε ένα περιβάλλον», προσθέτει ο Krishnan.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Αυτοκίνητο / EVs, Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- ChartPrime. Ανεβάστε το Trading Game σας με το ChartPrime. Πρόσβαση εδώ.
- BlockOffsets. Εκσυγχρονισμός της περιβαλλοντικής αντιστάθμισης ιδιοκτησίας. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/threat-intelligence/ransomware-with-an-identity-crisis-targets-small-businesses-individuals
