Η X-Labs εντόπισε ένα νέο ransomware (ShadowRoot) που στοχεύει κυρίως τουρκικές επιχειρήσεις και παραδίδεται μέσω κακόβουλων συνημμένων PDF που αποστέλλονται μέσω phishing emails.
Τα συνημμένα PDF ενεργοποιούν λήψεις exe payload, το οποίο κρυπτογραφεί αρχεία προσθέτοντας την επέκταση “.shadowroot” (έτσι προκύπτει και το όνομα του ransomware).
Πιο συγκεκριμένα, το συνημμένο PDF περιέχει μια κακόβουλη διεύθυνση URL που συνδέεται με έναν παραβιασμένο λογαριασμό GitHub. Στη συνέχεια, γίνεται λήψη ενός εκτελέσιμου payload με το όνομα “PDF.FaturaDetay_202407.exe”, υποδηλώνοντας πιθανή παράδοση κακόβουλου λογισμικού και επακόλουθη παραβίαση του συστήματος.
Δείτε επίσης: Το SEXi ransomware μετονομάζεται σε APT INC – Επιθέσεις σε VMware ESXi servers
Το εκτελέσιμο Borland Delphi 4.0 (32-bit) αναπτύσσει δευτερεύοντα payloads, όπως τα RootDesign.exe, Uninstall.exe και Uninstall.ini, στον κατάλογο “C:\TheDream”.
Το RootDesign.exe χρησιμοποιεί randomized class names, ειδικούς χαρακτήρες και ονόματα συναρτήσεων που προστατεύονται από DotNet Confuser Core 1.6 obfuscation, για να αποφευχθεί ο εντοπισμός.
Το κύριο εκτελέσιμο χρησιμοποιεί PowerShell για να εκτελέσει κρυφά το RootDesign.exe, το οποίο υποδεικνύει πιθανή κακόβουλη δραστηριότητα.
Η εντολή εκτελεί ένα κρυφό PowerShell script από το “C:\TheDream\RootDesign.exe”, δημιουργεί πολλαπλά child processes και mutexes “Local\ZonesCacheCounterMutex”, “Local\ZonesLockedCacheCounterMutex” και “_SHuassist.mtx”. Αυτές οι διεργασίες χρησιμοποιούν τη μνήμη για να αναπαράγονται αναδρομικά, καταναλώνοντας έναν αυξανόμενο αριθμό πόρων του συστήματος.
Ταυτόχρονα, κρυπτογραφούν διάφορα non-PE και office files, αντικαθιστώντας τις επεκτάσεις τους με το .ShadowRoot”. Επιπλέον, καταγράφουν τις ενέργειές τους στο “C:\TheDream\log.txt” με το marker “ApproveExit.dot.”.
Σύμφωνα με τη ForcePoint, το ShadowRoot ransomware χρησιμοποιεί το .NET AES cryptographic library για την κρυπτογράφηση αρχείων. Με την παράλληλη χρήση και του RootDesign.exe, δημιουργείται υπερβολική κατανάλωση πόρων και πολλαπλά κρυπτογραφημένα αντίγραφα αρχείων.
Δείτε επίσης: Το BianLian Ransomware εκμεταλλεύεται τα διαπιστευτήρια RDP
Όπως προείπαμε, το ransomware στοχεύει κυρίως τουρκικές επιχειρήσεις και εμφανίζει σημειώματα λύτρων στα τουρκικά.
Παρατηρώντας τις επιθέσεις, οι ερευνητές καταλήγουν στο συμπέρασμα ότι οι επιτιθέμενοι δεν είναι πολύ έμπειροι. Η αρχική μόλυνση μέσω PDF με κακόβουλο σύνδεσμο δεν είναι πρωτότυπη. Επιπλέον, το ransomware κρυπτογραφεί αρχεία με την επέκταση “.ShadowRoot” και επικοινωνεί με έναν ρωσικό διακομιστή SMTP, υποδηλώνοντας περιορισμένες δυνατότητες και πιθανή απειρία.
Οι φορείς απειλών διανέμουν το κακόβουλο λογισμικό μέσω email χρησιμοποιώντας τις διευθύνσεις ηλεκτρονικού ταχυδρομείου Kurumsal[.]tasilat[@]internet[.]ru, ran_master_som[@]proton[.]me και lasmuruk[@]mailfence[.]com.
Το malware payload, με hashes CD8FBF0DCDD429C06C80B124CAF574334504E99A και 1C9629AEB0E6DBE48F9965D87C64A7B8750BBF93, φιλοξενείται στο hxxps://raw[.]githubusercontent[.]com/kurumsaltahsilat/detayfatura/main/PDF.FaturaDetay_202407.exe.
Προστασία από το ransomware
Δημιουργία αντίγραφων ασφαλείας των δεδομένων σας: Ένας από τους πιο αποτελεσματικούς τρόπους για να προστατευτείτε από μια επίθεση ransomware είναι να δημιουργείτε τακτικά αντίγραφα ασφαλείας των δεδομένων σας. Αυτό διασφαλίζει ότι ακόμα κι αν τα δεδομένα σας είναι κρυπτογραφημένα από ransomware, θα έχετε ένα ασφαλές αντίγραφο που μπορεί να αποκατασταθεί χωρίς να πληρώσετε τα λύτρα.
Ενημέρωση λειτουργικού συστήματος και λογισμικού: Τα μη ενημερωμένα λειτουργικά συστήματα και λογισμικά είναι ευάλωτα σε επιθέσεις στον κυβερνοχώρο. Είναι σημαντικό να ενημερώνετε τακτικά τις συσκευές σας με τις πιο πρόσφατες ενημερώσεις ασφαλείας και λογισμικού για να αποτρέψετε τυχόν ευπάθειες που θα μπορούσαν να χρησιμοποιηθούν από ransomware.
Προσοχή σε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου και συνδέσμους: Οι επιθέσεις ransomware συχνά ξεκινούν με ένα phishing email ή κακόβουλο σύνδεσμο. Είναι σημαντικό να είστε προσεκτικοί όταν ανοίγετε μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς. Επίσης, μην κάνετε κλικ σε ύποπτους συνδέσμους. Αυτά θα μπορούσαν να οδηγήσουν στην εγκατάσταση ransomware στη συσκευή σας.
Χρήση λογισμικού προστασίας από ιούς: Η εγκατάσταση αξιόπιστου λογισμικού προστασίας από ιούς στις συσκευές σας μπορεί να σας βοηθήσει να εντοπίσετε και να αποτρέψετε επιθέσεις ransomware. Φροντίστε να ενημερώνετε τακτικά το λογισμικό προστασίας από ιούς για να βεβαιωθείτε ότι είναι εξοπλισμένο για να χειρίζεται νέες απειλές.
Δείτε επίσης: Η Rite Aid επιβεβαιώνει παραβίαση δεδομένων μετά την επίθεση ransomware
Εκπαίδευση: Ένα από τα πιο σημαντικά βήματα για την προστασία από ransomware είναι η εκπαίδευση. Είναι σημαντικό να παραμένετε ενημερωμένοι για τους πιο πρόσφατους τύπους ransomware και τον τρόπο λειτουργίας τους. Οι οργανισμοί θα πρέπει επίσης να εκπαιδεύουν τους υπαλλήλους τους για το πώς να εντοπίζουν και να αποφεύγουν πιθανές επιθέσεις.
Εφαρμογή ισχυρών κωδικών πρόσβασης: Οι αδύναμοι ή εύκολοι κωδικοί πρόσβασης μπορούν να διευκολύνουν τους hackers να αποκτήσουν πρόσβαση στις συσκευές σας και να εγκαταστήσουν ransomware. Είναι σημαντικό να χρησιμοποιείτε ισχυρούς και μοναδικούς κωδικούς πρόσβασης και να ενεργοποιείτε τον έλεγχο ταυτότητας δύο παραγόντων όποτε είναι δυνατόν.
Χρήση VPN: Ένα VPN κρυπτογραφεί τη σύνδεσή σας στο Διαδίκτυο και παρέχει ένα επιπλέον επίπεδο ασφάλειας έναντι επιθέσεων ransomware. Αυτό είναι ιδιαίτερα σημαντικό όταν χρησιμοποιείτε δημόσια δίκτυα Wi-Fi, τα οποία είναι συχνά μη ασφαλή και ευάλωτα σε επιθέσεις στον κυβερνοχώρο.
Πηγή: gbhackers.com
 που στοχεύει κυρίως τουρκικές επιχειρήσεις και παραδίδεται μέσω κακόβουλων συνημμένων PDF){kind=link}