Ειδικοί κυβερνοασφάλειας προειδοποιούν τους οργανισμούς υγειονομικής περίθαλψης σχετικά με μια νέα ομάδα Ransomware-as-a-Service (RaaS) με την ονομασία NoEscape, η οποία πιστεύεται ότι είναι ένα rebrand της ρωσικής ομάδας Avaddon.
Η συμμορία εμφανίστηκε τον Μάιο του 2023 και έχει “μοναδικά χαρακτηριστικά και επιθετικές τακτικές πολλαπλών εκβιασμών“, σύμφωνα το Health Sector Cybersecurity Coordination Center του Υπουργείου Υγείας και Ανθρωπίνων Υπηρεσιών των ΗΠΑ (HHS HC3).
Το NoEscape ransomware έχει εντοπιστεί σε επιθέσεις εναντίον οργανισμών που δραστηριοποιούνται στους κλάδους των επαγγελματικών υπηρεσιών, της κατασκευής, των πληροφοριών και της υγειονομικής περίθαλψης. Η στόχευση του τομέα της υγειονομικής περίθαλψης και της δημόσιας υγείας είναι ένα “ανησυχητικό σημάδι”, αφού αυτό δείχνει ότι όλο και περισσότεροι οργανισμοί ενδέχεται να στοχοποιηθούν.
Δείτε επίσης: Alphv/BlackCat ransomware: Έκλεψε δεδομένα από το Morrison Community Hospital;
NoEscape ransomware: Πώς λειτουργεί;
Όταν το NoEscape ransomware διεισδύει σε ένα δίκτυο, αφήνει ένα σημείωμα στον υπολογιστή του θύματος που αναφέρει ότι το σύστημά του έχει μολυνθεί. Μέσω αυτού του σημειώματος μπορεί να υπάρξει επικοινωνία με τους επιτιθέμενους.
Τα θύματα καλούνται να πληρώσουν τα λύτρα σε κρυπτονομίσματα και το ποσό των λύτρων ποικίλλει ανάλογα με τη σοβαρότητα της επίθεσης και την παραλλαγή ransomware που χρησιμοποιείται. Το ποσό κυμαίνεται από εκατοντάδες χιλιάδες δολάρια έως πάνω από 10 εκατομμύρια δολάρια.
Τα θύματα είναι κυρίως αμερικανικοί και ευρωπαϊκοί οργανισμοί.
Και αυτή η συμμορία χρησιμοποιεί τακτικές πολλαπλού εκβιασμού για να πιέσει περισσότερο τα θύματα. Οι hackers μπορούν να κλέβουν δεδομένα, να κρυπτογραφούν τις συσκευές και να πραγματοποιούν επιθέσεις DDoS εναντίον των στόχων τους.
Δείτε επίσης: Τα δικαστήρια του Κάνσας δέχτηκαν πιθανόν επίθεση ransomware
Οι συμμορίες NoEscape και Avaddon χρησιμοποιούν παρόμοιες τακτικές
Το HHS HC3 παρατήρησε ότι υπάρχουν κοινά στοιχεία μεταξύ του NoEscape και της μη ενεργής πλέον συμμορίας Avaddon:
- Ομοιότητες κρυπτογράφησης: Η ανάλυση έδειξε ότι η λογική κρυπτογράφησης και οι μορφές αρχείων είναι “εντυπωσιακά παρόμοιες”. Η κύρια διαφορά έγκειται στον αλγόριθμο κρυπτογράφησης που χρησιμοποιείται, με το NoEscape να υιοθετεί το Salsa20, ενώ το Avaddon το AES.
- Configuration overlaps: Και οι δύο ομάδες χρησιμοποιούν το ίδιο configuration file και οδηγίες.
- Ομοιότητες τακτικών: Οι επιτιθέμενοι χρησιμοποιούν παρόμοιες μεθόδους αρχικής πρόσβασης και χρησιμοποιούν τακτικές πολλαπλών εκβιασμών.
- Γεωγραφικές εξαιρέσεις: Οι χώρες της πρώην Σοβιετικής Ένωσης δεν στοχοποιούνται και σε τυχόν θύματα από αυτές τις περιοχές παρέχονται δωρεάν κλειδιά αποκρυπτογράφησης.
NoEscape ransomware: Μέθοδοι προστασίας
- Δημιουργία αντιγράφων ασφαλείας για τα σημαντικά δεδομένα και αποθήκευση αυτών εκτός σύνδεσης
- Τακτική ενημέρωση λογισμικού
- Χρήση αξιόπιστου antivirus λογισμικού
- Χρήση ισχυρών ελέγχων ασφαλείας email και εκπαίδευση σχετικά με το phishing
- Αποφυγή ανοίγματος links και συνημμένων που βρίσκονται σε emails από άγνωστους αποστολείς
- Χρήση ισχυρών κωδικών πρόσβασης για όλους τους λογαριασμούς και ενεργοποίηση ελέγχου ταυτότητας πολλαπλών παραγόντων
- Χρήση firewall και άλλων μέτρων ασφάλειας δικτύου για την παρακολούθηση και τον έλεγχο της εισερχόμενης και εξερχόμενης κίνησης δικτύου
- Τμηματοποίηση δικτύου, ώστε να μην μπορεί να εξαπλωθεί η μόλυνση σε όλα τα συστήματα
Δείτε επίσης: Μερική κρυπτογράφηση: Η τελευταία τάση στο ransomware
Πρόσφατα έγινε επίθεση σε νοσοκομείο και από μια άλλη γνωστή ransomware ομάδα, την Alphv/ BlackCat. Η συμμορία πρόσθεσε το Morrison Community Hospital στο site διαρροής δεδομένων των θυμάτων της στο dark web.
Η ομάδα ισχυρίζεται ότι έχει κλέψει πληροφορίες ασθενών και υπαλλήλων (5 TB), αντίγραφα ασφαλείας, έγγραφα PII και πολλά άλλα. Η συμμορία δημοσίευσε και ένα δείγμα των κλεμμένων πληροφορίων για να αποδείξει τους ισχυρισμούς της.
Πηγή: www.infosecurity-magazine.com
