Κυβερνοεγκληματίες έχουν αναπτύξει μια βελτιωμένη έκδοση του περίφημου κακόφημου λογισμικού GhostLocker ransomware, το GhostLocker 2.0, το οποίο χρησιμοποιούν σε επιθέσεις σε όλη τη Μέση Ανατολή, την Αφρική και την Ασία.
Δείτε επίσης: Optum hack: Υπεύθυνο το BlackCat/ALPHV ransomware;
Οι δύο ομάδες ransomware, GhostSec και Stormous, έχουν συνεργαστεί σε επιθέσεις διπλής εξαναγκαστικής απόσπασης χρημάτων χρησιμοποιώντας το νέο GhostLocker 2.0 για να μολύνουν οργανισμούς στο Λίβανο, το Ισραήλ, τη Νότια Αφρική, την Τουρκία, την Αίγυπτο, την Ινδία, το Βιετνάμ και την Ταϊλάνδη, καθώς και σε άλλες τοποθεσίες.
Τεχνολογικές εταιρείες, πανεπιστήμια, βιομηχανίες, μεταφορές και κυβερνητικοί οργανισμοί αντιμετωπίζουν το βάρος των επιθέσεων, οι οποίες επιχειρούν να εξαπατήσουν θύματα για να πληρώσουν για κλειδιά αποκρυπτογράφησης που απαιτούνται για να αποκρυπτογραφήσουν δεδομένα που έχουν καταστεί μη προσβάσιμα από το κακόβουλο λογισμικό κρυπτογράφησης αρχείων. Οι επιτιθέμενοι απειλούν επίσης να δημοσιεύσουν τα κλεμμένα ευαίσθητα δεδομένα εκτός εάν τα θύματα πληρώσουν τα λύτρα, σύμφωνα με τους ερευνητές της Cisco Talos, οι οποίοι ανακάλυψαν το νέο κακόβουλο λογισμικό και την επίθεση κυβερνοασφάλειας.
Μήνυμα του GhostLocker 2.0
Το GhostLocker 2.0 κρυπτογραφεί αρχεία στο μηχάνημα του θύματος χρησιμοποιώντας την κατάληξη αρχείου .ghost πριν από την απόθεση και το άνοιγμα ενός μηνύματος λύτρων. Προοπτικοί στόχοι προειδοποιούν ότι τα κλεμμένα δεδομένα θα διαρρεύσουν, εκτός εάν επικοινωνήσουν με τους υπεύθυνους για το ransomware πριν από τη λήξη μιας προθεσμίας επτά ημερών.
Δείτε ακόμα: Blackcat ransomware: Στοχεύει κέντρα υγειονομικής περίθαλψης
Οι συνεργάτες του GhostLocker ransomware-as-a-service έχουν πρόσβαση σε έναν πίνακα ελέγχου που τους επιτρέπει να παρακολουθούν την πρόοδο των επιθέσεών τους, οι οποίες καταχωρούνται αυτόματα στον πίνακα ελέγχου. Ο διακομιστής ελέγχου GhostLocker 2.0 αποκρίνεται με γεωτοποθεσία στη Μόσχα, μία παρόμοια ρύθμιση με προηγούμενες εκδόσεις του ransomware.
Οι χάκερ αποκτούν πρόσβαση σε έναν δημιουργό λογισμικού κατάληψης δεδομένων που μπορεί να ρυθμιστεί με διάφορες επιλογές, συμπεριλαμβανομένου του καταλόγου στόχου για την κρυπτογράφηση. Οι προγραμματιστές έχουν ρυθμίσει το λογισμικό GhostLocker 2.0 για την αποστολή και κρυπτογράφηση των αρχείων που έχουν τις καταλήξεις αρχείων .doc, .docx, .xls και .xlsx.
Η τελευταία έκδοση του GhostLocker γράφτηκε στη γλώσσα προγραμματισμού GoLang, αντίθετα με την προηγούμενη έκδοση που αναπτύχθηκε χρησιμοποιώντας τη γλώσσα Python. Η λειτουργικότητα παραμένει παρόμοια, όμως, σύμφωνα με την Cisco Talos. Μία διαφορά στη νέα έκδοση: διπλασιάζει το μήκος του κλειδιού κρυπτογράφησης από 128 σε 256 bits.
Δείτε επίσης: Foxsemicon: Θύμα Ransomware η θυγατρική της Foxconn
Ποιες είναι οι στρατηγικές αντιμετώπισης του Ransomware-as-a-Service;
Η εκπαίδευση των χρηστών είναι ζωτικής σημασίας. Οι χρήστες πρέπει να είναι ενήμεροι για τους κινδύνους του Ransomware-as-a-Service, όπως το GhostLocker 2.0 και πώς να αναγνωρίζουν ύποπτα emails ή links. Η εφαρμογή ενημερωμένων πρωτοκόλλων ασφαλείας είναι άλλη μια σημαντική στρατηγική. Η δημιουργία και η τακτική ενημέρωση των αντιγράφων ασφαλείας των δεδομένων μπορεί να είναι ιδιαίτερα χρήσιμη στην προστασία από τις επιθέσεις Ransomware-as-a-Service. Η χρήση εργαλείων ανίχνευσης εισβολών και προληπτικών συστημάτων μπορεί να βοηθήσει στον εντοπισμό και την αποτροπή των επιθέσεων πριν αυτές προκαλέσουν ζημιά. Τέλος, η συνεργασία με ειδικούς στην κυβερνοασφάλεια μπορεί να προσφέρει πρόσθετη προστασία.
Πηγή: darkreading
