Ερευνητές ανακάλυψαν ένα νέο στέλεχος ransomware που χρονολογείται από το 2019 και στοχεύει άτομα και μικρές επιχειρήσεις, απαιτώντας μικρά ποσά σε λύτρα από κάθε πελάτη αντί για τα πολλά εκατομμύρια που ζητούν οι τυπικοί δράστες ransomware. Το TZW είναι η πιο πρόσφατη παραλλαγή της οικογένειας του κακόβουλου λογισμικού Adhubllka, η οποία εμφανίστηκε για πρώτη φορά τον Ιανουάριο του 2020, αλλά ήταν ήδη ενεργή από το προηγούμενο έτος, όπως αποκάλυψαν έρευνες από την εταιρεία ανάλυσης ασφάλειας και λειτουργιών Netenrich σε ένα άρθρο που δημοσιεύθηκε αυτή την εβδομάδα.
Δείτε επίσης: Το FBI προειδοποιεί για νέες απειλές που στοχεύουν ιατρικές εγκαταστάσεις
Ακόμη πιο σημαντική από την ανακάλυψη του στελέχους είναι η διαδικασία που ανέλαβαν οι ερευνητές για να το αναγνωρίσουν σωστά. Με τα χρόνια, πολλά από τα δείγματα του Adhubllka έχουν ταξινομηθεί λανθασμένα σε κάποια άλλη οικογένεια ransomware, λέει ο Rakesh Krishnan, ανώτερος αναλυτής απειλών στη Netenrich.
Επιπλέον, άλλα ονόματα είχαν ήδη εκχωρηθεί στο ίδιο κομμάτι, συμπεριλαμβανομένων των ReadMe, MMM, MME, GlobeImposter2.0, τα οποία στην πραγματικότητα ανήκουν στην οικογένεια ransomware Adhubllka. Όλη αυτή η σύγχυση απαιτούσε περαιτέρω διερεύνηση της γενεαλογίας του στελέχους ransomware για την ταυτοποίησή του με την κατάλληλη απόδοση, λέει ο Krishnan.
Το Adhubllka προσέλκυσε για πρώτη φορά μεγαλύτερη προσοχή τον Ιανουάριο του 2020, αλλά είχε επίσης επιδείξει υψηλή δραστηριότητα το προηγούμενο έτος, σύμφωνα με τους ερευνητές. Η ομάδα απειλής TA547 χρησιμοποίησε παραλλαγές του Adhubllka στις εκστρατείες τους που στόχευαν διάφορους τομείς της Αυστραλίας το 2020.
Ένας κύριος λόγος που ήταν τόσο δύσκολο για τους ερευνητές να αναγνωρίσουν την TZW ως ένα παρακλάδι του Adhubllka είναι λόγω των μικρών αιτημάτων για λύτρα που συνήθως κάνει η ομάδα – από 800 έως 1.600 δολάρια. Σε αυτό το χαμηλό επίπεδο, τα θύματα συχνά πληρώνουν τους επιτιθέμενους και οι επιτιθέμενοι συνεχίζουν να περνούν απαρατήρητοι.
Στην πραγματικότητα, στο μέλλον, οι ερευνητές προβλέπουν ότι αυτό το ransomware μπορεί να αναδιαμορφωθεί με άλλα ονόματα· άλλες ομάδες μπορεί επίσης να το χρησιμοποιήσουν για να ξεκινήσουν τις δικές τους εκστρατείες ransomware.
Δείτε επίσης: Lazarus Group: Εκμεταλλεύεται κρίσιμο ελάττωμα του Zoho ManageEngine για να διασπείρει το QuiteRAT
Κλειδιά για την αναγνώριση
Πράγματι, το κλειδί που χρησιμοποίησαν οι ερευνητές για να συνδέσουν την πιο πρόσφατη εκστρατεία με το Adhubllka ήταν να παρακολουθήσουν προηγουμένως συνδεδεμένα Tor domains που χρησιμοποιούνταν από τον δράστη, με την ομάδα να ανακαλύπτει στοιχεία από την αποζητούμενη σημείωση που αφήνονταν στα θύματα για να το παρακολουθήσει ως πηγή.
Στο σημείωμα, ο χάκερ ζητά από τα θύματα να επικοινωνήσουν μέσω μιας πύλης θυμάτων που βασίζεται σε Tor για να αποκτήσουν κλειδιά αποκρυπτογράφησης μετά από πληρωμή λύτρων. Η σημείωση ανέφερε ότι η ομάδα άλλαξε το κανάλι επικοινωνίας της από v2 Tor Onion URL σε v3 Tor URL, “επειδή η κοινότητα Tor κατάργησε τα domain v2 Onion”, σύμφωνα με την ανάρτηση.
Επιπλέον, μια επιπλέον πρόταση στην σημείωση – “ο server με τον αποκρυπτογραφητή σας βρίσκεται σε ένα κλειστό δίκτυο Tor” – είδαν μόνο σε δύο νέες παραλλαγές Adhubllka: TZW και U2K, σύμφωνα με τους ερευνητές, που περιόρισε περαιτέρω την αποδοχή.
Άλλες ενδείξεις που έδειχναν ξεκάθαρα την πιο πρόσφατη παραλλαγή του Adhubllka ήταν η χρήση της διεύθυνσης email pr0t3eam@protonmail.com από την καμπάνια, η οποία αναφέρεται ευρέως ότι ανήκει στην ομάδα ransomware, και η σύνδεσή της με το δείγμα παραλλαγής MD5 του Adhubllka που εντοπίστηκε το 2019.
Η έρευνα συνολικά αποδεικνύει πώς το ransomware δημιουργείται προσεκτικά για να αποπροσανατολίσει τους κυνηγούς απειλών από τους κυβερνο-εγκληματίες, ενισχύοντας τη σημασία της προστασίας από επιθέσεις μέσω της δημιουργίας μιας λύσης ασφάλειας για τα τερματικά, αναφέρει ο Krishnan.
Πράγματι, οι πιο σημαντικές προστασίες για τις οργανώσεις βρίσκονται στο να αποτραπεί η είσοδος των ransomware στο περιβάλλον από την αρχή, “πράγμα που σημαίνει να αναζητήσετε ανωμαλίες συμπεριφοράς, ανόδου προνομίων και εισαγωγή ύποπτων αφαιρούμενων μέσων στο περιβάλλον”, προσθέτει ο Krishnan.
Πηγή πληροφοριών: darkreading.com
