Γνωρίστε το LostTrust ransomware — Μια πιθανή αλλαγή επωνυμίας της συμμορίας MetaEncryptor

Η λειτουργία ransomware LostTrust πιστεύεται ό

τι

είναι μια νέα επωνυμία του MetaEncryptor, χρησιμοποιώντας σχεδόν πανομοιότυπες τοποθεσίες διαρροής δεδομένων και κρυπτογραφητές.

Το LostTrust άρχισε να επιτίθεται σε οργανισμούς τον Μάρτιο του

2023

, αλλά δεν έγινε ευρέως γνωστό μέχρι τον Σεπτέμβριο, όταν άρχισαν να χρησιμοποιούν έναν ιστότοπο διαρροής δεδομένων.

Επί του παρόντος, ο ιστότοπος διαρροής δεδομένων απαριθμεί 53 θύματα παγκοσμίως, με ορισμένα να έχουν ήδη διαρρεύσει τα δεδομένα τους επειδή δεν πλήρωσαν λύτρα.

Δεν είναι σαφές εάν η συμμορία ransomware στοχεύει μόνο συσκευές

Windows

ή εάν χρησιμοποιούν και κρυπτογράφηση

Linux

.

Ένα rebrand του MetaEncryptor

Το MetaEncryptor είναι μια επιχείρηση ransomware που πιστεύεται ότι ξεκίνησε τον Αύγουστο του 2022, συγκεντρώνοντας δώδεκα θύματα στον ιστότοπο διαρροής δεδομένων τους έως τον Ιούλιο του 2023, μετά την οποία δεν προστέθηκαν νέα θύματα στον ιστότοπο.

Αυτόν τον μήνα, κυκλοφόρησε ένας νέος ιστότοπος διαρροής δεδομένων για τη συμμορία «LostTrust», με τον ερευνητή κυβερνοασφάλειας Stefano Favarato να παρατηρεί γρήγορα ότι χρησιμοποιεί το ίδιο ακριβώς πρότυπο και βιογραφικό με τον ιστότοπο διαρροής δεδομένων του MetaEncryptor.

«Είμαστε μια ομάδα νέων που αυτοπροσδιορίζονται ως ειδικοί στον τομέα της ασφάλειας δικτύων με τουλάχιστον 15 χρόνια εμπειρίας», αναφέρει μια περιγραφή τόσο στους ιστότοπους διαρροής δεδομένων MetaEncryptor όσο και στους ιστότοπους LostTrust.

“Αυτό το blog και αυτό το έργο είναι ΜΟΝΟ εμπορική χρήση, εκτός από την κύρια. Δεν έχουμε καμία σχέση με την πολιτική, τις υπηρεσίες πληροφοριών και την NSB.”

Το BleepingComputer διαπίστωσε επίσης ότι τόσο το LostTrust [

VirusTotal

] και MetaEncryptor [

VirusTotal

] Οι κρυπτογραφητές είναι σχεδόν πανομοιότυποι, με κάποιες μικρές αλλαγές σε σημειώσεις λύτρων, ενσωματωμένα δημόσια κλειδιά, ονόματα σημειώσεων λύτρων και κρυπτογραφημένες επεκτάσεις αρχείων.

Επιπλέον, ερευνητής κυβερνοασφάλειας

MalwareHunterTeam

είπε στο BleepingComputer ότι το LostTrust και το MetaEncryptor βασίζονται στον κρυπτογράφηση ransomware SFile2. Αυτή η σχέση υποστηρίζεται περαιτέρω από ένα

Σάρωση Intezer

εμφανίζει πολλή επικάλυψη κώδικα μεταξύ των κρυπτογραφητών LostTrust και SFile.

Λόγω της σημαντικής επικάλυψης μεταξύ των δύο λειτουργιών, πιστεύεται ότι το LostTrust είναι μια νέα επωνυμία της λειτουργίας MetaEncryptor.

Ο κρυπτογραφητής LostTrust

Το BleepingComputer βρήκε ένα δείγμα του κρυπτογραφητή LostTrust και πραγματοποίησε μια σύντομη ανάλυση παρακάτω.

Ο κρυπτογραφητής μπορεί να ξεκινήσει με δύο προαιρετικά ορίσματα γραμμής εντολών,

–μόνο μονοπάτι

(κρυπτογραφήστε μια συγκεκριμένη διαδρομή) και

–enable-shares

(κρυπτογράφηση κοινών χρήσεων δικτύου).

Όταν εκκινηθεί, ο κρυπτογραφητής θα ανοίξει μια κονσόλα που θα εμφανίζει την τρέχουσα κατάσταση της διαδικασίας κρυπτογράφησης, όπως φαίνεται παρακάτω.

Σημειώστε το ‘

ΜΕΤΑΚρυπτογράφηση

συμβολοσειρά στον κρυπτογραφητή, υποδεικνύοντας ότι πρόκειται για τροποποιημένο κρυπτογράφηση MetaEncryptor.

Όταν εκτελεστεί, το LostTrust θα απενεργοποιήσει και θα σταματήσει πολλές υπηρεσίες των Windows για να διασφαλίσει ότι όλα τα αρχεία μπορούν να κρυπτογραφηθούν, συμπεριλαμβανομένων τυχόν υπηρεσιών που περιέχουν τις συμβολοσειρές Firebird, MSSQL, SQL, Exchange, wsbex, postgresql, BACKP, tomcat, SBS και SharePoint.

Ο κρυπτογραφητής θα απενεργοποιήσει και θα σταματήσει επίσης πρόσθετες υπηρεσίες που σχετίζονται με το Microsoft Exchange.

Κατά την κρυπτογράφηση αρχείων, ο κρυπτογραφητής θα προσαρτήσει το

.losttrusttencoded

επέκταση στα ονόματα των κρυπτογραφημένων αρχείων, όπως φαίνεται παρακάτω.

Ονομασμένα σημειώματα λύτρων

!LostTrustEncoded.txt

θα δημιουργηθεί σε κάθε φάκελο της συσκευής, με τους παράγοντες απειλών να παρουσιάζονται ως προηγούμενοι χάκερ λευκού καπέλου. Ωστόσο, αφού πληρώθηκαν κακώς, αποφάσισαν να στραφούν στο έγκλημα στον κυβερνοχώρο.

“Η ομάδα μας έχει εκτεταμένο υπόβαθρο στο νομικό και το λεγόμενο

hacking

λευκών καπέλων. Ωστόσο, οι πελάτες συνήθως θεωρούσαν ότι οι ευπάθειες που βρέθηκαν ήταν μικρές και κακοπληρωμένες για τις υπηρεσίες μας”, αναφέρει το σημείωμα λύτρων LostTrust.

“Έτσι αποφασίσαμε να αλλάξουμε το επιχειρηματικό μας μοντέλο. Τώρα καταλαβαίνετε πόσο σημαντικό είναι να διαθέσουμε έναν καλό προϋπολογισμό για την ασφάλεια πληροφορικής.”

Αυτές οι σημειώσεις λύτρων περιέχουν πληροφορίες για το τι συνέβη με τα αρχεία της εταιρείας και περιλαμβάνουν έναν μοναδικό σύνδεσμο προς τον ιστότοπο διαπραγμάτευσης Tor της συμμορίας ransomware.

Ο ιστότοπος διαπραγμάτευσης είναι γυμνός, με μόνο μια δυνατότητα συνομιλίας που επιτρέπει στους εκπροσώπους της εταιρείας να διαπραγματεύονται με τους παράγοντες της απειλής.

Το BleepingComputer ενημερώθηκε ότι οι απαιτήσεις για λύτρα για επιθέσεις LostTrust κυμαίνονται από 100.000 $ έως εκατομμύρια.

Ιστότοπος διαρροής δεδομένων που χρησιμοποιείται για εκβιασμό θυμάτων

Όπως και άλλες λειτουργίες ransomware, το LostTrust χρησιμοποιεί έναν ιστότοπο παραβίασης δεδομένων Tor που χρησιμοποιείται για να εκβιάσει εταιρείες απειλώντας να διαρρεύσει τα κλεμμένα δεδομένα τους εάν δεν πληρωθούν λύτρα.

Η LostTrust έχει 53 θύματα στον ιστότοπο διαρροής δεδομένων, με ορισμένες εταιρείες να έχουν ήδη διαρρεύσει τα δεδομένα τους.

Προς το παρόν, δεν είναι γνωστό εάν η πληρωμή μιας απαίτησης λύτρων θα οδηγήσει στη διαγραφή δεδομένων και σε έναν λειτουργικό αποκρυπτογραφητή.