Μια νέα παραλλαγή ransomware Phobos πλαισιώνει τη δημοφιλή ομάδα κοινής χρήσης κακόβουλου λογισμικού VX-Underground, υποδεικνύοντας ότι η ομάδα βρίσκεται πίσω από επιθέσεις που χρησιμοποιούν τον κρυπτογράφηση.
Το Phobos κυκλοφόρησε το 2018 πιστεύεται ότι είναι ένα ransomware-as-a-service που προέρχεται από την οικογένεια ransomware Crysis. Ως μέρος αυτής της λειτουργίας, μια ομάδα παραγόντων απειλών διαχειρίζεται την ανάπτυξη του ransomware και κρατά το κύριο κλειδί αποκρυπτογράφησης, ενώ άλλοι φορείς απειλών ενεργούν ως συνεργάτες για την παραβίαση δικτύων και την κρυπτογράφηση συσκευών.
Ενώ ο Phobos υπάρχει εδώ και πολύ καιρό, ποτέ δεν εξελίχθηκε σε μια επιχείρηση “ελίτ” γνωστή για τη διεξαγωγή μαζικών επιθέσεων και την απαίτηση εκατομμυρίων δολαρίων.
Ωστόσο, αυτό δεν σημαίνει ότι δεν είναι μια μεγάλη επιχείρηση, καθώς βλέπει ευρεία διανομή μέσω πολλών συνδεδεμένων φορέων απειλών και αντιπροσωπεύει το 4% όλων των υποβολών στην υπηρεσία ID Ransomware το 2023.
Πηγή: ID Ransomware
Καδράρισμα VX
Σήμερα, κυνηγός ransomware Βρέθηκε το PCrisk μια νέα παραλλαγή του ransomware Phobos που επιχειρεί να πλαισιώνουν την κοινότητα VX-Underground.
Κατά την κρυπτογράφηση αρχείων, το κακόβουλο λογισμικό θα προσαρτήσει το .ταυτότητα[[unique_id].[[email protected]].VXUG σειρά, με το email να είναι νόμιμο και την τελική επέκταση “VXUG”, που σημαίνει VX-Underground.
Πηγή: BleepingComputer
Όταν τελειώσει, το Phobos θα δημιουργήσει δύο σημειώσεις λύτρων στην επιφάνεια εργασίας των Windows και αλλού.
Το πρώτο είναι ένα σημείωμα λύτρων με το όνομα «Buy Black Mass Volume II.txt», το οποίο προκαλεί λίγη πλάκα στο VX λέγοντας ότι ο κωδικός αποκρυπτογράφησης δεν είναι «μολυσμένος», ο κωδικός πρόσβασης που χρησιμοποιείται σε όλα τα αρχεία κακόβουλου λογισμικού VX.
“!!! Όλα τα αρχεία σας είναι κρυπτογραφημένα !!!
Για να τα αποκρυπτογραφήσετε, στείλτε e-mail σε αυτή τη διεύθυνση: [email protected].
Αν δεν απαντήσουμε σε 48 ώρες, στείλτε μήνυμα σε αυτό το twitter: @vxunderground
και όχι ο κωδικός αποκρυπτογράφησης δεν είναι “μολυσμένος””
Πηγή: BleepingComputer
Το δεύτερο είναι ένα αρχείο HTA με το όνομα «Buy Black Mass Volume II.hta», το τυπικό σας σημείωμα λύτρων Phobos προσαρμοσμένο ώστε να χρησιμοποιεί το λογότυπο, το όνομα και τα στοιχεία επικοινωνίας του VX-Underground. Τα Black Mass είναι βιβλία που γράφτηκαν από το VX-Underground και πωλούνται στο Amazon.
Πηγή: BleepingComputer
Παρακολουθώντας τους παρατηρητές
Όπως οι ερευνητές ασφάλειας, οι παράγοντες απειλών εμπλέκονται στις διαδικτυακές κοινότητες infosec και κυβερνοασφάλειας, συμμετέχοντας ενεργά σε συζητήσεις ή παρακολουθώντας αθόρυβα από το περιθώριο. Αυτή η παρακολούθηση, ωστόσο, οδήγησε σε παρόμοια χλεύη που προστέθηκαν σε κακόβουλο λογισμικό και ransomware στο παρελθόν.
Για παράδειγμα, όταν κυκλοφόρησε ο πρόδρομος του REvil, GandCrab, οι παράγοντες απειλών ονόμασαν τους διακομιστές εντολών και ελέγχου τους με τα BleepingComputer, Emsisoft, ESET και NoMoreRansom.
Ενώ αυτό ήταν μια καλοπροαίρετη κοροϊδία όσων εμπλέκονται στην παρακολούθηση και την έρευνα ransomware, άλλα παραδείγματα πήραν μια πιο σκοτεινή τροπή.
Το 2016, ο προγραμματιστής του Το Apocalypse ransomware άρχισε να ενσωματώνει καταχρηστικά σχόλια σχετικά με τον εμπειρογνώμονα ransomware Fabian Wosar στους κρυπτογραφητές «Fabiansomware» από την απογοήτευση που η Wosar συνέχιζε να βρίσκει αδυναμίες στην κρυπτογράφηση.
Το 2020, ένας προγραμματιστής για το ransomware Maze δημιούργησε έναν υαλοκαθαριστήρα δεδομένων/MBR Locker που πήρε το όνομά του από τον αείμνηστο ερευνητή ασφάλειας Vitali Kremez και τον Sentinel One.
Ο προγραμματιστής του Maze είπε στο BleepingComputer όταν κυκλοφόρησαν τα κλειδιά αποκρυπτογράφησης ότι διένειμαν τον υαλοκαθαριστήρα για να ενοχλήσουν τον Kremez, ο οποίος δημοσιεύει αρνητικά tweets σχετικά με τη λειτουργία ransomware.
Πιο πρόσφατα, το ransomware γνωστό ως «Azov Ransomware» διανεμήθηκε σε μεγάλο βαθμό μέσω πειρατικού λογισμικού, γεννητριών κλειδιών και πακέτων adware σε όλο τον κόσμο.
Αυτό το ransomware ισχυρίστηκε ότι δημιουργήθηκε από εμένα, τους BleepingComputer, Hasherazade, MalwareHunterTeam, Michael Gillespie και Vitali Kremez, λέγοντας στα θύματα να επικοινωνήσουν μαζί μας για ένα κλειδί αποκρυπτογράφησης.
Για όσους αλληλεπιδρούν με προγραμματιστές κακόβουλου λογισμικού, διατρέχετε πάντα τον κίνδυνο να συμπεριληφθούν σε ένα από τα έργα τους.
Ενώ το χλευασμό είναι ως επί το πλείστον καλόβολο, σε ορισμένες περιπτώσεις, όπως είδαμε με το Azov και τον υαλοκαθαριστήρα Kremez, μπορεί να γίνει λίγο άσχημο.
VIA: bleepingcomputer.com
