Εδώ και περίπου τρία χρόνια, η ransomware συμμορία NoName στοχεύει μικρομεσαίες επιχειρήσεις σε όλο τον κόσμο με δικά της κακόβουλα προγράμματα, αλλά τώρα πιστεύεται ότι λειτουργεί ως affiliate της ομάδας RansomHub.
Γενικά, η συμμορία χρησιμοποιεί custom εργαλεία, που είναι γνωστά ως Spacecolon malware family, και τα αναπτύσσει αφού αποκτήσει πρόσβαση σε ένα δίκτυο μέσω μεθόδων brute-force. Επίσης, εκμεταλλεύεται ευπάθειες όπως το EternalBlue (CVE-2017-0144) ή το ZeroLogon (CVE-2020-1472).
Σε πιο πρόσφατες επιθέσεις, οι hackers έχουν χρησιμοποιήσει το ScRansom ransomware, το οποίο αντικατέστησε τον προηγούμενο encryptor τους, Scarab. Επιπλέον, οι επιτιθέμενοι έχουν χρησιμοποιήσει το ransomware builder του LockBit 3.0 που είχε διαρρεύσει, δημιουργώντας έναν παρόμοιο ιστότοπο διαρροής δεδομένων και χρησιμοποιώντας παρόμοια σημειώματα λύτρων.
ScRansom encryptor
Η εταιρεία κυβερνοασφάλειας ESET ονομάζει τη ransomware συμμορία NoName “CosmicBeetle“ και παρακολουθεί τις δραστηριότητές της από το 2023.
Δείτε επίσης: Το Λύκειο Charles Darwin έκλεισε μετά από επίθεση Ransomware
Σε μια νέα έκθεση, οι ερευνητές αναφέρουν ότι το ScRansom υποστηρίζει μερική κρυπτογράφηση με διαφορετικά speed modes, ενώ υπάρχει και ένα ‘ERASE’ mode που αντικαθιστά τα περιεχόμενα του αρχείου με μια σταθερή τιμή, καθιστώντας τα μη ανακτήσιμα.
Το ScRansom μπορεί να κρυπτογραφήσει αρχεία σε όλες τις μονάδες δίσκου, συμπεριλαμβανομένων fixed, remote και removable media. Επιπλέον, οι επιτιθέμενοι μπορούν να καθορίσουν ποιες επεκτάσεις αρχείων θα στοχεύσουν, μέσω μιας προσαρμόσιμης λίστας.
Πριν από την εκκίνηση του encryptor, το ScRansom διακόπτει μια λίστα διεργασιών και υπηρεσιών που τρέχουν σε υπολογιστή Windows, συμπεριλαμβανομένου του Windows Defender, του Volume Shadow Copy, του SVCHost, του RDPclip, του LSASS και διεργασιών που σχετίζονται με τα εργαλεία VMware.
Η ESET σημειώνει ότι το encryption scheme του ScRansom είναι αρκετά περίπλοκο, χρησιμοποιώντας έναν συνδυασμό AES-CTR-128 και RSA-1024 και ένα επιπλέον κλειδί AES που δημιουργείται για την προστασία του δημόσιου κλειδιού. Ωστόσο, η διαδικασία πολλαπλών βημάτων, με πολλαπλές ανταλλαγές κλειδιών, εισάγει μερικές φορές σφάλματα που μπορεί να οδηγήσουν σε αποτυχία αποκρυπτογράφησης των αρχείων (ακόμα και όταν χρησιμοποιούνται τα σωστά κλειδιά).
“Αυτή η προσέγγιση αποκρυπτογράφησης είναι χαρακτηριστική ενός μη έμπειρου χειριστή ransomware. Οι έμπειρες συμμορίες προτιμούν να έχουν τη διαδικασία αποκρυπτογράφησης όσο το δυνατόν πιο εύκολη για να αυξήσουν τις πιθανότητες σωστής αποκρυπτογράφησης, κάτι που ενισχύει τη φήμη τους και αυξάνει την πιθανότητα να πληρώσουν τα θύματα” είπε η ESET.
Δείτε επίσης: Η ομάδα Ransomware Fog επιτίθεται σε χρηματοοικονομικές υπηρεσίες
Η ransomware συμμορία NoName “χρησιμοποιεί” τη δημοτικότητα άλλων ομάδων
Δεδομένου ότι το ScRansom δεν ήταν ένα καθιερωμένο όνομα στο ransomware τοπίο, η συμμορία αποφάσισε να ακολουθήσει μια διαφορετική προσέγγιση για να γίνει πιο διάσημη.
Τον Σεπτέμβριο του 2023, η CosmicBeetle δημιούργησε έναν ιστότοπο εκβιασμών στο dark web με την επωνυμία «NONAME», που ήταν ένα τροποποιημένο αντίγραφο του ιστότοπου του LockBit. Ο ιστότοπος περιελάμβανε θύματα που είχαν όντως παραβιαστεί από το LockBit και όχι από το ScRansom.
Τον Νοέμβριο του 2023, οι hackers κατοχύρωσαν το domain lockbitblog[.]info και χρησιμοποίησαν το θέμα και το λογότυπο του LockBit.
Οι ερευνητές ανακάλυψαν, επίσης, ορισμένες πρόσφατες επιθέσεις όπου αναπτύχθηκε ένα δείγμα LockBit, αλλά το σημείωμα λύτρων είχε ένα αναγνωριστικό θύματος που είχαν ήδη συνδέσει με την ομάδα CosmicBeetle. Επιπλέον, τα εργαλεία και τα malware που χρησιμοποιήθηκαν σε αυτήν την επίθεση έχουν αποδοθεί στην CosmicBeetle/NoName.
“Η χρήση builders, που έχουν διαρρεύσει, είναι μια κοινή πρακτική για τις μη έμπειρες συμμορίες ransomware. Τους επιτρέπει να κάνουν κατάχρηση της επωνυμίας των καθιερωμένων ανταγωνιστών τους, ενώ τους παρέχει επίσης ένα δείγμα ransomware που συνήθως λειτουργεί σωστά“, εξήγησε η ESET.
Η ransomware συμμορία NoName αναπτύσσει εργαλεία της RansomHub
Κατά τη διερεύνηση ενός πρόσφατου περιστατικού ransomware, με μια αποτυχημένη ανάπτυξη του ScRansom, οι ερευνητές της ESET διαπίστωσαν ότι οι hackers επιτέθηκαν ξανά χρησιμοποιώντας το EDR killer της ομάδας RansomHub, ένα εργαλείο που επιτρέπει την αύξηση προνομίων και την απενεργοποίηση των security agents.
Δείτε επίσης: 2024: Σημαντική αύξηση των ενεργών ransomware συμμοριών
Δύο ημέρες αργότερα, οι hackers NoName εκτέλεσαν το ransomware RansomHub στο παραβιασμένο μηχάνημα.
Οι ερευνητές παρατήρησαν ότι η μέθοδος εξαγωγής του EDR killer, ήταν τυπική της ομάδας CosmicBeetle/NoName και όχι ενός affiliate της RansomHub.
Δεδομένου ότι δεν υπάρχουν δημόσιες διαρροές του κώδικα RansomHub ή του builder του, οι ερευνητές της ESET “πιστεύουν με μέτρια σιγουριά ότι η CosmicBeetle/NoName εγγράφηκε ως νέος affiliate της RansomHub”.
Προστασία από το ransomware
Δημιουργία αντιγράφων ασφαλείας των δεδομένων σας: Ένας από τους πιο αποτελεσματικούς τρόπους για να προστατευτείτε από μια επίθεση ransomware είναι να δημιουργείτε τακτικά αντίγραφα ασφαλείας των δεδομένων σας. Αυτό διασφαλίζει ότι ακόμα κι αν τα δεδομένα σας είναι κρυπτογραφημένα από ransomware, θα έχετε ένα ασφαλές αντίγραφο που μπορεί να αποκατασταθεί χωρίς να πληρώσετε τα λύτρα.
Ενημέρωση λειτουργικού συστήματος και λογισμικού: Τα μη ενημερωμένα λειτουργικά συστήματα και λογισμικά είναι ευάλωτα σε επιθέσεις στον κυβερνοχώρο. Είναι σημαντικό να ενημερώνετε τακτικά τις συσκευές σας με τις πιο πρόσφατες ενημερώσεις ασφαλείας και λογισμικού για να αποτρέψετε τυχόν ευπάθειες που θα μπορούσαν να χρησιμοποιηθούν από ransomware.
Προσοχή σε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου και συνδέσμους: Οι επιθέσεις ransomware συχνά ξεκινούν με ένα phishing email ή κακόβουλο σύνδεσμο. Είναι σημαντικό να είστε προσεκτικοί όταν ανοίγετε μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς. Επίσης, μην κάνετε κλικ σε ύποπτους συνδέσμους. Αυτά θα μπορούσαν να οδηγήσουν στην εγκατάσταση ransomware στη συσκευή σας.
Χρήση λογισμικού προστασίας από ιούς: Η εγκατάσταση αξιόπιστου λογισμικού προστασίας από ιούς στις συσκευές σας μπορεί να σας βοηθήσει να εντοπίσετε και να αποτρέψετε επιθέσεις ransomware. Φροντίστε να ενημερώνετε τακτικά το λογισμικό προστασίας από ιούς για να βεβαιωθείτε ότι είναι εξοπλισμένο για να χειρίζεται νέες απειλές.
Εκπαίδευση: Ένα από τα πιο σημαντικά βήματα για την προστασία από ransomware είναι η εκπαίδευση. Είναι σημαντικό να παραμένετε ενημερωμένοι για τους πιο πρόσφατους τύπους ransοmware και τον τρόπο λειτουργίας τους. Οι οργανισμοί θα πρέπει επίσης να εκπαιδεύουν τους υπαλλήλους τους για το πώς να εντοπίζουν και να αποφεύγουν πιθανές επιθέσεις.
Εφαρμογή ισχυρών κωδικών πρόσβασης: Οι αδύναμοι ή εύκολοι κωδικοί πρόσβασης μπορούν να διευκολύνουν τους hackers να αποκτήσουν πρόσβαση στις συσκευές σας και να εγκαταστήσουν ransomware. Είναι σημαντικό να χρησιμοποιείτε ισχυρούς και μοναδικούς κωδικούς πρόσβασης και να ενεργοποιείτε τον έλεγχο ταυτότητας δύο παραγόντων όποτε είναι δυνατόν.
Χρήση VPN: Ένα VPN κρυπτογραφεί τη σύνδεσή σας στο Διαδίκτυο και παρέχει ένα επιπλέον επίπεδο ασφάλειας έναντι επιθέσεων ransomware. Αυτό είναι ιδιαίτερα σημαντικό όταν χρησιμοποιείτε δημόσια δίκτυα Wi-Fi, τα οποία είναι συχνά μη ασφαλή και ευάλωτα σε επιθέσεις στον κυβερνοχώρο.
Πηγή: www.bleepingcomputer.com
