Ένας απειλητικός παράγοντας προωθεί μια νέα έκδοση του δωρεάν προς χρήση ransomware builder «Redeemer» σε hacker forums, προσφέροντας στους ανειδίκευτους απειλητικούς φορείς μια εύκολη είσοδο στον κόσμο των extortion επιθέσεων που υποστηρίζονται από encryption.
Δείτε επίσης: Η Atlassian διορθώνει κρίσιμο ελάττωμα στο Confluence
Σύμφωνα με τον συγγραφέα της, η νέα έκδοση 2.0 γράφτηκε εξ ολοκλήρου σε C++ και λειτουργεί σε Windows Vista, 7, 8, 10 και 11, με απόδοση πολλαπλών thread και μεσαίο ρυθμό ανίχνευσης AV.
Σε αντίθεση με πολλές λειτουργίες Ransomware-as-a-Service (RaaS), οποιοσδήποτε μπορεί να κατεβάσει και να χρησιμοποιήσει το πρόγραμμα δημιουργίας Redeemer ransomware για να ξεκινήσει τις δικές του επιθέσεις. Ωστόσο, όταν ένα θύμα αποφασίσει να πληρώσει τα λύτρα, ο συγγραφέας λαμβάνει το 20% των λύτρων και μοιράζεται το κύριο κλειδί που θα συνδυαστεί με το ιδιωτικό κλειδί κατασκευής που κατέχει το affiliate για αποκρυπτογράφηση.
Επίσης, η νέα έκδοση διαθέτει ένα νέο graphical user interface για το affiliate για τη δημιουργία του ransomware executable και εργαλείου decryption, ενώ όλες οι οδηγίες για τον τρόπο χρήσης του περικλείονται στο ZIP.
Ο συγγραφέας λέει ότι το project θα γίνει ανοιχτού κώδικα εάν χάσουν το ενδιαφέρον τους, όπως ακριβώς συνέβη με το Redeemer 1.0 τον Ιούνιο του 2021, όταν ο απειλητικός παράγοντας κυκλοφόρησε δημόσια τον πηγαίο κώδικα του.
Δείτε επίσης: GPS tracker οχημάτων δίνει στους χάκερ δικαιώματα admin
Λεπτομέρειες Redeemer 2.0
Η νέα έκδοση του προγράμματος δημιουργίας ransomware διαθέτει πολλές προσθήκες, όπως υποστήριξη για Windows 11, εργαλεία GUI και περισσότερες επιλογές επικοινωνίας, όπως XMPP και Tox Chat.
Επιπλέον, υπάρχει πλέον ένα σύστημα παρακολούθησης αναγνωριστικού καμπάνιας, το οποίο προσθέτει τα δεδομένα στο executable, επιτρέποντας στους απειλητικούς παράγοντες να παρακολουθούν διάφορες καμπάνιες που ενδέχεται να διεξάγουν.
Επειδή το ποσό των λύτρων ορίζεται κατά τη δημιουργία του executable και αντιστοιχεί σε ένα συγκεκριμένο αναγνωριστικό, ο affiliate δεν μπορεί να υποβάλει arbitrary claims στον δημιουργό, επομένως η περικοπή κατά 20% του τελευταίου είναι εγγυημένη.
Ο συγγραφέας έχει δημιουργήσει μια σελίδα στο dark web site Dread για να αποκτήσουν οι affiliates το κιτ, να δημιουργήσουν επικοινωνία, να αποκτήσουν πρόσβαση σε οδηγίες και να λάβουν υποστήριξη.
Οι ερευνητές της Cyble, που ανέλυσαν τη νέα έκδοση, αναφέρουν ότι το ransomware δημιουργεί ένα mutex κατά την εκκίνηση για να αποφύγει πολλαπλές εμφανίσεις στο σύστημα του θύματος και κάνει κατάχρηση των API των Windows για να εκτελείται με δικαιώματα διαχειριστή.
Πριν από την κρυπτογράφηση, το malware καταχράται τις εντολές των Windows για την εκκαθάριση των αρχείων καταγραφής συμβάντων και τη διαγραφή shadow copies και τυχόν αντιγράφων ασφαλείας κατάστασης συστήματος, αποτρέποντας την εύκολη/δωρεάν επαναφορά.
Δείτε επίσης: Η Εσωτερική Ασφάλεια παρακολουθεί πολίτες μέσω τοποθεσίας τηλεφώνου
Στη συνέχεια, οι διεργασίες που φαίνονται παρακάτω τερματίζονται για να μην μπει σε κίνδυνο η διαδικασία της κρυπτογράφησης.
Μετά από αυτό, το ransomware κάνει drop ένα προσαρμοσμένο εικονίδιο για τα Windows για χρήση για την επέκταση κρυπτογραφημένων αρχείων, δημιουργεί τις σημειώσεις λύτρων και απαριθμεί όλα τα αρχεία και τα directories.
Το Bleeping Computer εξέτασε το ransomware ανεξάρτητα και διαπίστωσε ότι δεν διέγραψε όλα τα αρχεία μετά την κρυπτογράφηση τους, επομένως η λειτουργία του φαίνεται αναξιόπιστη.
Όταν προσπαθεί να ανοίξει ένα από τα κρυπτογραφημένα αντίγραφα, το θύμα λαμβάνει ένα μήνυμα που του υποδεικνύει να ανοίξει το σημείωμα λύτρων για οδηγίες σχετικά με το τι πρέπει να κάνει.
Το ransomware προσθέτει και μια σημείωση λύτρων στο κλειδί μητρώου Winlogon για να προειδοποιήσει τον χρήστη για το τι συνέβη κατά την επανεκκίνηση του συστήματος.
Πρέπει να ανησυχείτε;
Ενώ οι χάκερ κατώτερης βαθμίδας συνήθως δεν διαθέτουν τις δεξιότητες για να βρουν αρχικά σημεία πρόσβασης σε πολύτιμα εταιρικά δίκτυα, μπορούν να προκαλέσουν σημαντική ζημιά σε πολλές ζωτικής σημασίας αλλά ανεπαρκώς προστατευμένες οντότητες, όπως η υγειονομική περίθαλψη και οι μικρές επιχειρήσεις.
Ωστόσο, η υιοθέτηση αυτού του νέου ransomware δεν φαίνεται πολύ υψηλή, αλλά ακόμα κι αν το project αποτύχει, η υπόσχεση για την κυκλοφορία του πηγαίου κώδικα δημιουργεί τη ζοφερή προοπτική νέων project που βασίζονται στον πηγαίο κώδικα του Redeemer.
Πηγή πληροφοριών: bleepingcomputer.com
