Μια hacking ομάδα φαίνεται πως χρησιμοποίησε τον source code του Conti ransomware για να δημιουργήσει το δικό της ransomware και να το χρησιμοποιήσει σε κυβερνοεπιθέσεις εναντίον οργανισμών στη Ρωσία. Ο source code του Conti είχε διαρρεύσει πριν λίγο καιρό από έναν Ουκρανό ερευνητή.
Σχεδόν καθημερινά ακούμε για ransomware επιθέσεις που στοχεύουν εταιρείες και κρυπτογραφούν δεδομένα. Ωστόσο, σπάνια ακούμε ότι η Ρωσία είναι στόχος τέτοιων επιθέσεων.
Δείτε επίσης: Microsoft: Εμπόδισε επιθέσεις κατά της Ουκρανίας καταργώντας domains της ρωσικής APT28
Τώρα φαίνεται πως μια hacking ομάδα γνωστή ως NB65 στοχεύει πλέον ρωσικούς οργανισμούς με επιθέσεις ransomware. Η ομάδα παραβιάζει ρωσικές οντότητες, κλέβει τα δεδομένα τους και τα διαρρέει στο διαδίκτυο, προειδοποιώντας ότι οι επιθέσεις οφείλονται στη ρωσική εισβολή στην Ουκρανία.
Οι ρωσικές οντότητες που λέγεται ότι έχουν δεχτεί επίθεση από την NB65, περιλαμβάνουν τον document management operator Tensor, τη ρωσική διαστημική υπηρεσία Roscosmos και το VGTRK, τον κρατικό τηλεοπτικό και ραδιοφωνικό σταθμό της Ρωσίας.
Η επίθεση στο VGTRK ήταν ιδιαίτερα σημαντική καθώς λέγεται ότι οδήγησε στην κλοπή 786,2 GB δεδομένων. Αυτά περιλαμβάνουν 900.000 email και 4.000 αρχεία, τα οποία δημοσιεύτηκαν στον ιστότοπο DDoS Secrets.
Από τα τέλη Μαρτίου, οι hackers NB65 άρχισαν να στοχεύουν τους ρωσικούς οργανισμούς με επιθέσεις ransomware. Το πιο ενδιαφέρον, όμως, είναι ότι η hacking ομάδα δημιούργησε το ransomware της χρησιμοποιώντας τον source code του Conti Ransomware, που έχει δημιουργηθεί από Ρώσους hackers, που απαγορεύουν στα μέλη τους να επιτίθενται σε οντότητες στη Ρωσία.
Ο source code και εσωτερικές συνομιλίες της συμμορίας Conti διέρρευσαν, μετά από μια δήλωση της ομάδας ότι είναι στο πλευρό της Ρωσίας σε σχέση με την επίθεση στην Ουκρανία. Μετά από αυτό, ένας Ουκρανός ερευνητής ασφαλείας διέρρευσε 170.000 εσωτερικά μηνύματα και τον source code.
Ένα δείγμα του τροποποιημένου εκτελέσιμου Conti ransomware της NB65 ανέβηκε στο VirusTotal, επιτρέποντάς μας να πάρουμε μια γεύση του πώς λειτουργεί.
Δείτε επίσης: Meta malware: Κακόβουλα emails διανέμουν νέο info-stealer
Σχεδόν όλοι οι προμηθευτές προστασίας από ιούς εντοπίζουν αυτό το δείγμα στο VirusTotal ως Conti και η Intezer Analyze επιβεβαίωσε ότι χρησιμοποιεί το 66% του ίδιου κώδικα με τα συνηθισμένα δείγματα ransomware Conti.
Σύμφωνα με το BleepingComputer, κατά την κρυπτογράφηση αρχείων, το ransomware θα προσαρτήσει την επέκταση .NB65 στα αρχεία.
Το ransomware δημιουργεί, επίσης, σημειώματα λύτρων με το όνομα R3ADM3.txt σε όλη την κρυπτογραφημένη συσκευή, με τους φορείς απειλών να λένε ότι για την επίθεση φταίει ο Vladimir Putin και η εισβολή στην Ουκρανία.
“Παρακολουθούμε πολύ στενά. Ο Πρόεδρός σας δεν θα έπρεπε να έχει διαπράξει εγκλήματα πολέμου. Αν ψάχνετε κάποιον να κατηγορήσετε για την τρέχουσα κατάστασή σας, μην κοιτάξετε πέρα από τον Vladimir Putin“, αναφέρει το σημείωμα λύτρων που αφήνει η hacking ομάδα NB65 στα θύματά της στη Ρωσία.
Σύμφωνα με το BleepingComputer, το ransomware βασίζεται στον source code του Conti, αλλά το έχουν τροποποιήσει για κάθε θύμα, ώστε να μη λειτουργούν τα διαθέσιμα εργαλεία αποκρυπτογράφησης.
Δείτε επίσης: Τραπεζικό Android malware παίρνει εξ αποστάσεως τον έλεγχο συσκευών
Η hacking ομάδα τόνισε ότι οι επιθέσεις εναντίον των οργανισμών στη Ρωσία, θα σταματήσουν όταν σταματήσουν και οι εχθροπραξίες στην Ουκρανία.
“Δεν θα χτυπήσουμε στόχους εκτός Ρωσίας. Ομάδες όπως οι Conti και Sandworm, μαζί με άλλες ρωσικές APT χτυπούν τη Δύση εδώ και χρόνια με ransomware… Καταλάβαμε ότι ήταν καιρός να το αντιμετωπίσουν οι ίδιοι“, είπαν οι hackers στο BleepingComputer.
Πηγή: www.bleepingcomputer.com
