Η συμμορία Chaos Ransomware κρυπτογραφεί τις Windows συσκευές των παικτών μέσω ψεύτικων Minecraft alt lists που προωθούνται σε gaming forums.
Το Minecraft είναι ένα εξαιρετικά δημοφιλές βιντεοπαιχνίδι sandbox που παίζεται αυτήν τη στιγμή από πάνω από 140 εκατομμύρια ανθρώπους και σύμφωνα με τους αριθμούς πωλήσεων της Nintendo, είναι ένας τίτλος με τις κορυφαίες πωλήσεις στην Ιαπωνία.
Δείτε επίσης: Ερευνητές παρείχαν εργαλείο αποκρυπτογράφησης στα θύματα του BlackMatter ransomware
Δείτε επίσης: Bug BillQuick Web Suite: Χρησιμοποιήθηκε για ανάπτυξη ransomware
Καλυμμένο ως αρχείο text “alt list”
Σύμφωνα με ερευνητές στο FortiGuard, μια παραλλαγή του ransomware Chaos που ανακαλύφθηκε πρόσφατα διανέμεται προσωρινά στην Ιαπωνία, κρυπτογραφώντας τα αρχεία των παικτών του Minecraft και ρίχνοντας ransom notes.
Το δέλεαρ που χρησιμοποιείται από τους απειλητικούς φορείς είναι text files «alt list» που υποτίθεται ότι περιέχουν κλεμμένα account credentials Minecraft, αλλά στην πραγματικότητα, είναι εκτελέσιμο ransomware Chaos.
Οι παίκτες του Minecraft που θέλουν να τρολάρουν άλλους παίκτες χωρίς τον κίνδυνο αποκλεισμού των λογαριασμών τους, μερικές φορές χρησιμοποιούν λίστες ‘alt’ για να βρουν κλεμμένους λογαριασμούς που μπορούν να χρησιμοποιήσουν για απαγορευμένα αδικήματα.
Λόγω της δημοτικότητάς τους, οι alt lists είναι πάντα σε ζήτηση και κοινοποιούνται συνήθως δωρεάν ή μέσω αυτοματοποιημένων account generators που παρέχουν στην κοινότητα «εφεδρικούς» λογαριασμούς.
Το Chaos Ransomware
Κατά την κρυπτογράφηση θυμάτων, το ransomware Chaos θα προσθέσει τέσσερις τυχαίους χαρακτήρες ή ψηφία ως επέκταση σε κρυπτογραφημένα αρχεία.
Το ransomware θα «ρίξει» και ένα ransom note με το όνομα «ReadMe.txt», όπου οι απειλητικοί παράγοντες απαιτούν 2.000 γιεν (~ 17,56 $) σε προπληρωμένες κάρτες.
Δείτε επίσης: Επίθεση ransomware στην Norsk Hydro: Συνελήφθησαν οι ένοχοι!
Μια καταστροφική μόλυνση
Αυτή η συγκεκριμένη παραλλαγή του Chaos Ransomware έχει ρυθμιστεί ώστε να αναζητά στα μολυσμένα συστήματα διαφορετικούς τύπους αρχείων μικρότερους από 2ΜΒ και να τους κρυπτογραφεί.
Ωστόσο, εάν το αρχείο είναι μεγαλύτερο από 2 MB, θα εισάγει τυχαία byte στα αρχεία, καθιστώντας τα μη ανακτήσιμα ακόμη και αν καταβληθούν τα λύτρα.
Λόγω της καταστροφικής φύσης της επίθεσης, όσοι πληρώνουν τα λύτρα μπορούν να ανακτήσουν μόνο μικρότερα αρχεία.
Ο λόγος για αυτήν τη λειτουργικότητα δεν είναι σαφής και μπορεί να οφείλεται σε κακή κωδικοποίηση, λανθασμένο configuration ή σκόπιμη βλάβη στα αρχεία των παικτών.
Στη συγκεκριμένη καμπάνια, οι απειλητικοί φορείς προωθούν text files για να δημιουργήσουν μια ψεύτικη αίσθηση ασφάλειας ενώ στο τέλος τα ανταλλάσσουν με executables.
Οι χρήστες θα πρέπει να είναι καχύποπτοι και να μην εκτελούν αρχεία που κατεβάζουν από το internet, εκτός εάν εμπιστεύονται τον ιστότοπο και τον έχουν σαρώσει με ένα εργαλείο όπως το VirusTotal.
Πηγή πληροφοριών: bleepingcomputer.com
