Η εβδομάδα στο Ransomware – 18 Αυγούστου 2023

Αν και υπήρχαν αρκετά νέα για

ransomware

αυτή την εβδομάδα, η επισημασμένη ιστορία ήταν η κυκλοφορία του τρίτου άρθρου του Jon DiMaggio στη σειρά Ransomware Diaries, με εστίαση αυτού του άρθρου στη λειτουργία ransomware LockBit.

Για αρκετό καιρό, το LockBit βρισκόταν στην κορυφή της «βιομηχανίας» ransomware, συνήθως πρωτοπόρος στον αριθμό των θυμάτων με βάση τον ιστότοπο διαρροής δεδομένων της επιχείρησης.

Ωστόσο, όπως

εξηγείται από τον DiMaggio

η λειτουργία LockBit φαίνεται να ολισθαίνει, με τη συμμορία να αντιμετωπίζει σοβαρό πρόβλημα υποδομής αποθήκευσης που επηρεάζει την ικανότητά της να απελευθερώνει κλεμμένα δεδομένα και να εκβιάζει θύματα.

Όπως όλες οι λειτουργίες ransomware με στόχευση επιχειρήσεων, κατά τη διεξαγωγή επιθέσεων, οι φορείς απειλών παραβιάζουν πρώτα ένα δίκτυο και συλλέγουν αθόρυβα δεδομένα για να χρησιμοποιηθούν σε μεταγενέστερες απαιτήσεις εκβιασμού. Μόνο μετά την κλοπή όλων των πολύτιμων δεδομένων και τη διαγραφή των αντιγράφων ασφαλείας, οι φορείς απειλών αναπτύσσουν το ransomware για να ξεκινήσουν την κρυπτογράφηση αρχείων.

Αυτά τα κλεμμένα δεδομένα χρησιμοποιούνται ως μόχλευση ενώ εκβιάζουν τα θύματα δημοσιεύοντάς τα σε ιστότοπο διαρροής δεδομένων εάν δεν πληρωθούν λύτρα.

Ωστόσο, ο DiMaggio έμαθε ότι το LockBit έχει ένα σοβαρό πρόβλημα αποθήκευσης, εμποδίζοντας τη σωστή διαρροή δεδομένων από τη λειτουργία και απογοητεύοντας τους συνεργάτες που θέλουν να χρησιμοποιήσουν τον ιστότοπο διαρροής δεδομένων ως μέρος της στρατηγικής τους για εκβιασμό.

«Έχει χρησιμοποιήσει προπαγάνδα στον ιστότοπο διαρροής και ισχυρή αφήγηση σε εγκληματικά φόρουμ για να κρύψει το γεγονός ότι συχνά δεν μπορεί να δημοσιεύει με συνέπεια κλεμμένα δεδομένα», εξήγησε ο ερευνητής στην έκθεσή του.

“Αντίθετα, βασίζεται σε κενές απειλές και στη δημόσια φήμη του για να πείσει τα θύματα να πληρώσουν. Κάπως, κανένας άλλος εκτός από τους συνεργάτες της. Αυτό το πρόβλημα οφείλεται στους περιορισμούς στην υποδομή υποστήριξης και στο διαθέσιμο εύρος ζώνης.

Για να γίνουν τα πράγματα χειρότερα, ο δημόσιος εκπρόσωπος της LockBit, LockBitSupp, εξαφανίστηκε για λίγο, χωρίς να εμφανιστεί στο Tox ή να απαντήσει σε ερωτήσεις θυγατρικών.

Αυτό οδήγησε στις θυγατρικές εταιρείες να ανησυχούν ότι η λειτουργία είχε παραβιαστεί, με κάποιους να λένε στον DiMaggio ότι είχαν αρχίσει να μεταβαίνουν σε νέες λειτουργίες ransomware.

Αυτό το χάος στη λειτουργία LockBit δεν πέρασε απαρατήρητο από άλλους αναλυτές ασφαλείας, με

Άλαν Λίσκα

προειδοποιώντας επίσης ότι υπήρξε απότομη μείωση στη δραστηριότητα της επιχείρησης.

Άλλα νέα ransomware

Σε άλλες ειδήσεις ransomware, είδαμε μια εξαιρετική έρευνα που κυκλοφόρησε αυτές τις βαθιές καταδύσεις σε νέους κρυπτογραφητές:

Οι επιθέσεις κλοπής δεδομένων MOVEit συνεχίζουν να αποτελούν αγκάθι για οργανισμούς παγκοσμίως, με το Κολοράντο να προειδοποιεί ότι τα δεδομένα 4 εκατομμυρίων ανθρώπων κλάπηκαν ως μέρος αυτών των επιθέσεων.

Τελικά, ανακαλύφθηκε μια νέα καμπάνια phishing, που ωθεί το νέο ransomware Knight ως καταγγελίες του TripAdvisor.

Οι συνεισφέροντες και εκείνοι που παρείχαν νέες πληροφορίες και ιστορίες ransomware αυτήν την εβδομάδα περιλαμβάνουν:

@malwrhunterteam

,

@LawrenceAbrams

,

@fwosar

,

@BleepinComputer

,

@billtoulas

,

@serghei

,

@Seifreed

,

@demonslay335

,

@Jon__DiMaggio

,

@security_score

,

@vxunderground

,

@MsftSecIntel

,

@TrendMicro

,

@IBMSecurity

,

@felixw3000

,

@uptycs

,

@BushidoToken

,

@adlumin

και

@pcrisk

.

12 Αυγούστου

2023

Knight ransomware διανέμεται σε ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου καταγγελίας του Tripadvisor

Το ransomware Knight διανέμεται σε μια συνεχιζόμενη καμπάνια ανεπιθύμητης αλληλογραφίας που προσποιείται ότι είναι καταγγελίες του TripAdvisor.

14 Αυγούστου 2023

Το Monti ransomware στοχεύει διακομιστές VMware ESXi με νέο ντουλάπι Linux

Η συμμορία ransomware Monti επέστρεψε, μετά από ένα διάλειμμα δύο μηνών από τη δημοσίευση θυμάτων στον ιστότοπο διαρροής δεδομένων τους, χρησιμοποιώντας ένα νέο ντουλάπι Linux για να στοχεύσει διακομιστές VMware ESXi, νομικούς και κυβερνητικούς οργανισμούς.

Το Κολοράντο προειδοποιεί 4 εκατομμύρια δεδομένα που έχουν κλαπεί λόγω παραβίασης του IBM MOVEit

Το Υπουργείο Πολιτικής και Χρηματοδότησης Υγείας του Κολοράντο (HCPF) ειδοποιεί περισσότερα από τέσσερα εκατομμύρια άτομα για παραβίαση δεδομένων που επηρέασε τα προσωπικά και τα στοιχεία υγείας τους.

Underground Ransomware που αναπτύχθηκε από το Storm-0978 που εκμεταλλεύτηκε το CVE-2023-36884

Το Underground ransomware είναι ο διάδοχος του Industrial Spy ransomware και αναπτύχθηκε από έναν παράγοντα απειλών που ονομάζεται Storm-0978. Το κακόβουλο λογισμικό σταματά μια υπηρεσία-στόχο, διαγράφει τα σκιώδη αντίγραφα τόμου και διαγράφει όλα τα αρχεία καταγραφής συμβάντων των Windows.

Νέες παραλλαγές ransomware STOP

PCrisk

βρήκε νέες παραλλαγές ransomware STOP που προσαρτούν το

.τάσα

και

.ταοϋ

επεκτάσεις.

15 Αυγούστου 2023

Ransomware Diaries: Volume 3 – LockBit’s Secrets

Σε αυτόν τον τόμο των Ημερολογίων Ransomware, θα μοιραστώ ενδιαφέρουσες, προηγουμένως άγνωστες λεπτομέρειες της λειτουργίας LockBit ransomware που η LockBit προσπάθησε πολύ σκληρά να καλύψει. Μέχρι τώρα, σας είπαν ψέματα για την πραγματική ικανότητα του LockBit. Σήμερα, θα σας δείξω την πραγματική τρέχουσα κατάσταση του εγκληματικού του προγράμματος και θα δείξω με ανάλυση τεκμηριωμένη από στοιχεία ότι το LockBit έχει αρκετά κρίσιμα λειτουργικά προβλήματα, τα οποία έχουν περάσει απαρατήρητα.

Νέα παραλλαγή ransomware Allahu Akbar

Το PCrisk βρήκε μια νέα παραλλαγή ransomware STOP που προσαρτά το

.allahuakbar

επέκταση και ρίχνει ένα σημείωμα λύτρων με το όνομα

how_to_decrypt.txt

.

Νέα παραλλαγή ransomware Retch

Το PCrisk βρήκε μια νέα παραλλαγή ransomware που προσαρτά το

.Ρεύομαι

επέκταση και ρίχνει ένα σημείωμα λύτρων με το όνομα

ΠΩΣ ΝΑ ΑΝΑΚΤΗΣΕΤΕ ΤΑ ΑΡΧΕΙΑ ΣΑΣ.txt

.

16 Αυγούστου 2023

Παρακολούθηση αντιπάλων: Scattered Spider, η θυγατρική της BlackCat

Μετά την παρακολούθηση του τοπίου της απειλής του εγκλήματος στον κυβερνοχώρο σε καθημερινή βάση για περισσότερα από τέσσερα χρόνια τώρα, δεν είναι πια τόσο συχνά που κάτι με εκπλήσσει. Αλλά η τελευταία τάση μιας ύποπτης αγγλόφωνης ομάδας κυνηγιού μεγάλων θηραμάτων στον κυβερνοχώρο, η οποία παρακολουθείται με το όνομα Scattered Spider από την CrowdStrike ή 0ktapus από την Group-IB, που συνεργάζεται με μια ρωσόφωνη ομάδα ransomware γνωστή ως BlackCat (ή ALPHV) έχει πιάσει η προσοχή μου.

17 Αυγούστου 2023

Microsoft: Το ransomware Sphynx της BlackCat ενσωματώνει Impacket, RemCom

Η Microsoft ανακάλυψε μια νέα έκδοση του ransomware BlackCat που ενσωματώνει το πλαίσιο δικτύωσης Impacket και το εργαλείο hacking Remcom, και τα δύο επιτρέπουν την πλευρική εξάπλωση σε ένα δίκτυο που έχει παραβιαστεί.

Η ομάδα PlayCrypt Ransomware προκαλεί τον όλεθρο στην εκστρατεία κατά των διαχειριζόμενων παρόχων υπηρεσιών

Η ομάδα έρευνας Adlumin Threat αποκάλυψε μια συγκεντρωμένη παγκόσμια καμπάνια που χρησιμοποιεί εξελιγμένο ransomware Play (που προσδιορίζεται επίσης ως PlayCrypt). Αυτήν τη στιγμή, η καμπάνια στοχεύει επιχειρήσεις μεσαίας αγοράς στους κλάδους χρηματοδότησης, λογισμικού, νομικών και ναυτιλιακών και logistics, καθώς και κρατικές, τοπικές, φυλετικές και εδαφικές οντότητες (SLTT) στις

ΗΠΑ

, την Αυστραλία, το Ηνωμένο Βασίλειο και την

Ιταλία

. Η ομάδα ransomware PlayCrypt είχε συνδεθεί στο παρελθόν με την επίθεση στο City of Oakland τον Μάρτιο του 2023.

Νέα παραλλαγή ransomware Retch

Το PCrisk βρήκε μια νέα παραλλαγή ransomware που προσαρτά το

.Ρεύομαι

επέκταση και ρίχνει ένα σημείωμα λύτρων με το όνομα

ΠΩΣ ΝΑ ΑΝΑΚΤΗΣΕΤΕ ΤΑ ΑΡΧΕΙΑ ΣΑΣ.txt

.

Αυτά για αυτήν την εβδομάδα! Ελπίζω όλοι να έχουν ένα όμορφο Σαββατοκύριακο!