Ransomware που φαίνονται εντελώς διαφορετικά προέρχονται από τον ίδιο source code #TechWarGR
Ερευνητές
ασφαλείας
της
Intezer
παρατήρησαν ότι
δύο διαφορετικές μορφές
ransomware
που χρησιμοποιούν διαφορετικές μεθόδους και στοχεύουν διαφορετικά λειτουργικά
συστήματα
, ξεκίνησαν πιθανότατα από ένα
ransomware
.
Στην πορεία, οι χειριστές του μάλλον διέκοψαν τη
συνεργασία
τους και έτσι προέκυψαν δύο διαφορετικές μορφές. Αυτό δείχνει πώς το
ransomware
εξελίσσεται συνεχώς και πώς οι νέες απειλές συνεχίζουν να αποτελούν κίνδυνο για τα πιθανά
θύματα
.
Οι ερευνητές ανέλυσαν τα
QNAPCrypt
και
SunCrypt
και κατέληξαν στο συμπέρασμα ότι το ένα εξελίχθηκε από το άλλο.
Το
QNAPCrypt
εμφανίστηκε για πρώτη φορά στα μέσα του 2019 και στοχεύει κυρίως
NAS
συσκευές
με
Linux
. Από την άλλη, το
SunCrypt
ransomware
εμφανίστηκε τον Οκτώβριο του 2019 και στοχεύει
συστήματα
Windows
, αλλά έγινε πιο δημοφιλές στα μέσα του 2020, μετά από μια ενημέρωση που έλαβε.
Με την πρώτη ματιά,
το QNAPCrypt και το SunCrypt φαίνεται να μην έχουν καμιά σχέση μεταξύ τους
. Είναι δύο διαφορετικές μορφές
ransomware
, που διανέμονται από δύο διαφορετικές
ομάδες
και στοχεύουν διαφορετικά λειτουργικά
συστήματα
.
Πρόκειται ουσιαστικά για
ransomware
-as-a-service επιχειρήσεις
που εκτελούνται με διαφορετικούς τρόπους. Μάλιστα, ο χειριστής του QNAPCrypt σπάνια κάνει δημοσιεύσεις για το
ransomware
σε underground forums.
Από την άλλη μεριά, οι χειριστές του SunCrypt διαφημίζουν πολύ το προϊόν τους, ενώ χρησιμοποιούν και την
τεχνική διπλού εκβιασμού,
απειλώντας να διαρρεύσουν κλεμμένα δεδομένα θυμάτων που δεν πληρώνουν τα λύτρα.
Ωστόσο, μια ανάλυση από τους ερευνητές, έδειξε ότι το
QNAPCrypt και η πρώιμη έκδοση του SunCrypt χρησιμοποιούν παρόμοια λογική σχετικά με τον κώδικα για την κρυπτογράφηση αρχείων.
Αυτό οδήγησε τους ερευνητές στο συμπέρασμα ότι και τα δύο
προήλθαν από τον ίδιο source code.
Οι ερευνητές εντόπισαν, επίσης,
ομοιότητες στη δημιουργία κλειδιών και στον τρόπο ανάπτυξης του κώδικα για τον έλεγχο της γεωγραφικής τοποθεσίας των θυμάτων
. Τόσο το QNAPCrypt όσο και το SunCrypt διακόπτουν τη διαδικασία κρυπτογράφησης σε
συστήματα
στη Λευκορωσία, τη
Ρωσία
και την Ουκρανία (το SunCrypt σταματά και σε μηχανήματα στο Κιργιζιστάν και τη Συρία).
Σύμφωνα με τους ερευνητές, το SunCrypt
ransomware
έχει εξελιχθεί από τότε που κυκλοφόρησε και έχει κάποια πιο ιδιαίτερα στοιχεία, αλλά η ανάλυση του παλαιότερου κώδικα καθιστά σαφές ότι οι δύο μορφές
ransomware
ξεκίνησαν μαζί. Το πώς κατέληξε σε δύο διαφορετικές παραλλαγές παραμένει μυστήριο.
“
Οι χειριστές μπορεί να είχαν συνεργαστεί για την αρχική έκδοση του SunCrypt και η
συνεργασία
ίσως διαλύθηκε και πήραν διαφορετικούς δρόμους. Μια άλλη θεωρία είναι ότι ο χειριστής του QNAPCrypt προσλήφθηκε για να δημιουργήσει το αρχικό
ransomware
για να ξεκινήσει η πρώτη έκδοση της υπηρεσίας
“, είπε ο Joakim Kennedy, ερευνητής
ασφαλείας
της Intezer.
Αυτό που μας διδάσκει η
ανακάλυψη
των δύο διαφορετικών μορφών ενός
ransomware
είναι,
ότι το
ransomware
ως απειλή εξελίσσεται συνεχώς.
Μπορούν να δημιουργηθούν πολλές διαφορετικές μορφές και παραλλαγές από το ίδιο
malware
και να δρουν με εντελώς διαφορετικό τρόπο και από διαφορετικές
hacking
ομάδες
.
Τόσο το QNAPCrypt όσο και το SunCrypt
ransomware
παραμένουν ενεργά το 2021
, με το QNAPCrypt να στοχεύει
συστήματα
που δεν είναι ενημερωμένα και τα οποία έχουν αδύναμους κωδικούς πρόσβασης. Η
εφαρμογή
των κατάλληλων ενημερώσεων
και η
εφαρμογή
ισχυρών passwords και ελέγχου ταυτότητας πολλών παραγόντων
μπορούν να βοηθήσουν σημαντικά στην
προστασία
των θυμάτων.
Πηγή: ZDNet
Related Posts
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.