Η εβδομάδα στο Ransomware – 21 Ιουλίου 2023
Αυτή η έκδοση του Week in
Ransomware
καλύπτει τις τελευταίες δύο εβδομάδες ειδήσεων, καθώς δεν μπορέσαμε να τις καλύψουμε την περασμένη εβδομάδα, και περιλαμβάνει αρκετές νέες πληροφορίες, συμπεριλαμβανομένης της επιστροφής της συμμορίας ransomware Avaddon.
Τον περασμένο μήνα, ξεκίνησε μια νέα λειτουργία ransomware με το όνομα NoEscape (ή No_Escape), η οποία γρήγορα άρχισε να συγκεντρώνει μια ροή νέων εταιρικών θυμάτων.
Αφού αναλύθηκε ο κρυπτογραφητής της επιχείρησης, σύντομα έγινε φανερό ότι το NoEscape ήταν ένα rebrand της Avaddon, ο οποίος έκλεισε τη λειτουργία του τον Ιούνιο του 2020 αφού ένιωσε τη ζέστη από τις αρχές επιβολής του νόμου.
Ωστόσο, φαίνεται ότι η συμμορία δεν αποσύρθηκε ποτέ στην πραγματικότητα, αλλά απλώς προσέφερε το χρόνο της μέχρι να μπορέσουν να επιστρέψουν ως η νέα λειτουργία NoEscape, που πιθανότατα εργαζόταν στο παρελθόν σε άλλες επιχειρήσεις.
Ενώ η συμμορία ισχυρίστηκε ότι δεν έχει καμία σχέση με το Avaddon, ο κρυπτογραφητής τους μοιάζει πολύ με το ransomware της προηγούμενης επιχείρησης, σύμφωνα με τον ειδικό ransomware Michael Gillespie.
Αυτό περιλαμβάνει μια μοναδική ρουτίνα τεμαχισμού κρυπτογράφησης που χρησιμοποιείται μόνο από την Avaddon, ομοιότητες στον κώδικα, το
ίδια μορφή αρχείου διαμόρφωσης
και
πολλές άλλες ρουτίνες
. Η μόνη σημαντική αλλαγή ήταν η μετάβαση από την κρυπτογράφηση AES στο Salsa20.
Οι αρχές επιβολής του νόμου ήταν απασχολημένες, συλλαμβάνοντας έναν Ουκρανό προγραμματιστή scareware μετά από 10 χρόνια κυνήγι και έναν υπάλληλο πληροφορικής που καταδικάστηκε σε περισσότερα από τρία χρόνια φυλάκιση για πλαστοπροσωπία μιας συμμορίας ransomware σε ένα σχέδιο εκβιασμού.
Σε άλλες αναφορές ransomware από BleepingComputer και εταιρείες κυβερνοασφάλειας:
Τέλος, οι επιθέσεις κλοπής δεδομένων του Clop χρησιμοποιώντας το MOVEit Transfer zero-day συνεχίζουν να είναι ένα καυτό θέμα στις ειδήσεις, με τις εταιρείες να συνεχίζουν να αποκαλύπτουν παραβιάσεις δεδομένων καθώς προστίθενται στον ιστότοπο διαρροής δεδομένων της συμμορίας.
Σύμφωνα με
μια νέα αναφορά Coveware
που κυκλοφόρησαν σήμερα, αυτές οι επιθέσεις ήταν πολύ επιτυχημένες, με τη συμμορία ransomware να αναμένεται να κερδίσει 75-100 εκατομμύρια δολάρια σε πληρωμές εκβιασμού.
Οι συνεισφέροντες και εκείνοι που παρείχαν νέες πληροφορίες και ιστορίες ransomware αυτήν την εβδομάδα περιλαμβάνουν:
@demonslay335
,
@Seifreed
,
@BleepinComputer
,
@malwrhunterteam
,
@billtoulas
,
@Ionut_Ilascu
,
@struppigel
,
@fwosar
,
@LawrenceAbrams
,
@serghei
,
@chainalysis
,
@TrendMicro
,
@Intel_by_KELA
,
@pcrisk
,
@SophosXOps
,
@coveware
,
@BroadcomSW
,
@pcrisk
και
@azalsecurity
.
8 Ιουλίου 2023
Το νέο ransomware «Big Head» εμφανίζει ψεύτικη ειδοποίηση ενημέρωσης των
Windows
Ερευνητές ασφαλείας έχουν αναλύσει ένα στέλεχος ransomware που εμφανίστηκε πρόσφατα με το όνομα «Big Head» που μπορεί να εξαπλώνεται μέσω κακόβουλης διαφήμισης που προωθεί ψεύτικες ενημερώσεις των Windows και προγράμματα εγκατάστασης του
Microsoft
Word.
Νέα παραλλαγή Makop Ransomware
PCrisk
βρήκε νέες παραλλαγές ransomware Makop που προσαρτά το
.ινδός ηγεμών
και ρίχνει ένα σημείωμα λύτρων με το όνομα
+README-WARNING+.txt
.
Νέες παραλλαγές STOP Ransomware
Το PCrisk βρήκε νέες παραλλαγές STOP που προσαρτούν το
.gayn
και
.gazp
επεκτάσεις.
12 Ιουλίου 2023
Πληρωμές ransomware σε τροχιά ρεκόρ για το 2023
Τα δεδομένα από το πρώτο εξάμηνο του έτους δείχνουν ότι η δραστηριότητα ransomware βρίσκεται σε καλό δρόμο για να σπάσει προηγούμενα ρεκόρ, σημειώνοντας αύξηση στον αριθμό των πληρωμών, τόσο μεγάλων όσο και μικρών.
Νέες παραλλαγές STOP Ransomware
Το PCrisk βρήκε νέες παραλλαγές STOP που προσαρτούν το
.waqq
και
.gaqq
επεκτάσεις.
Νέα παραλλαγή ransomware Chaos
Το PCRisk βρήκε μια νέα παραλλαγή Chaos που προσαρτά το
.hackedbySnea575
επέκταση και ρίχνει ένα σημείωμα λύτρων με το όνομα
README_txt.txt
.
14 Ιουλίου 2023
Ο Shutterfly λέει ότι η επίθεση ransomware Clop δεν επηρέασε τα δεδομένα πελατών
Το Shutterfly, μια διαδικτυακή πλατφόρμα λιανικής και κατασκευής φωτογραφιών, είναι ένα από τα πιο πρόσφατα θύματα που επλήγησαν από το Clop ransomware.
17 Ιουλίου 2023
Γνωρίστε το NoEscape: τον πιθανό διάδοχο της συμμορίας ransomware Avaddon
Η νέα λειτουργία ransomware NoEscape πιστεύεται ότι είναι ένα rebrand της Avaddon, μιας συμμορίας ransomware που έκλεισε και κυκλοφόρησε τα κλειδιά αποκρυπτογράφησης της το 2021.
Η αστυνομία συλλαμβάνει έναν Ουκρανό προγραμματιστή scareware μετά από 10 χρόνια κυνήγι
Η Εθνική Αστυνομία της Ισπανίας συνέλαβε έναν Ουκρανό υπήκοο που καταζητείται διεθνώς για τη συμμετοχή του σε επιχείρηση τρομοκρατίας που εκτείνεται από το 2006 έως το 2011.
Εργάτης πληροφορικής φυλακίστηκε επειδή υποδύθηκε συμμορία ransomware για να εκβιάσει τον εργοδότη
Ο 28χρονος Ashley Liles, πρώην υπάλληλος πληροφορικής, καταδικάστηκε σε πάνω από τρία χρόνια φυλάκιση για απόπειρα εκβιασμού του εργοδότη του κατά τη διάρκεια επίθεσης ransomware.
Νέες παραλλαγές STOP Ransomware
Το PCrisk βρήκε νέες παραλλαγές STOP που προσαρτούν το
.μίζα
,
.mitu
και
.miqe
επεκτάσεις.
Νέα παραλλαγή Xorist
Το PCrisk βρήκε μια νέα παραλλαγή Xorist που προσαρτά το
.PrO
επέκταση και ρίχνει ένα σημείωμα λύτρων με το όνομα
ΠΩΣ ΝΑ ΑΠΟΚΡΥΠΤΩΣΕΤΕ ΑΡΧΕΙΑ.txt
.
18 Ιουλίου 2023
Η εταιρεία κυβερνοασφάλειας Sophos υποδύεται το νέο ransomware SophosEncrypt
Ο προμηθευτής κυβερνοασφάλειας Sophos πλαστοπροσωπείται από ένα νέο ransomware-as-a-
service
που ονομάζεται SophosEncrypt, με τους φορείς απειλών να χρησιμοποιούν το όνομα της εταιρείας για τη λειτουργία τους.
Το FIN8 αναπτύσσει ransomware ALPHV χρησιμοποιώντας παραλλαγή Sardonic
malware
Μια συμμορία εγκλήματος στον κυβερνοχώρο με οικονομικά κίνητρα έχει παρατηρηθεί να αναπτύσσει ωφέλιμα φορτία ransomware BlackCat σε δίκτυα με κερκόπορτα χρησιμοποιώντας μια ανανεωμένη έκδοση κακόβουλου λογισμικού Sardonic.
19 Ιουλίου 2023
Ο γίγαντας ομορφιάς Estée Lauder παραβιάστηκε από δύο συμμορίες ransomware
Δύο ηθοποιοί ransomware, οι ALPHV/BlackCat και Clop, έχουν καταχωρίσει την εταιρεία ομορφιάς Estée Lauder στους ιστότοπους διαρροής δεδομένων τους ως θύμα ξεχωριστών επιθέσεων.
20 Ιουλίου 2023
Kanti: Ένα Ransomware που βασίζεται στο NIM που εξαπολύθηκε στην άγρια φύση
Οι νέες γλώσσες προγραμματισμού έχουν συχνά λιγότερα μέτρα ασφαλείας και λιγότερο ώριμους μηχανισμούς ανίχνευσης από τις καθιερωμένες. Οι Φορείς Απειλής (TA) συχνά προσπαθούν να παρακάμψουν τις παραδοσιακές άμυνες ασφαλείας και να αποφύγουν τον εντοπισμό χρησιμοποιώντας μια λιγότερο γνωστή γλώσσα προγραμματισμού.
Νέο ransomware Khronos
Το PCrisk βρήκε ένα νέο Kronos ransomware που προσαρτά το
.χρόνος
επέκταση και ρίχνει ένα σημείωμα λύτρων με το όνομα
info.hta
.
21 Ιουλίου 2023
Clop συμμορία για να κερδίσετε περισσότερα από 75 εκατομμύρια δολάρια από επιθέσεις εκβιασμού του MOVEit
Η συμμορία ransomware Clop αναμένεται να κερδίσει μεταξύ 75-100 εκατομμυρίων δολαρίων από τον εκβιασμό των θυμάτων της τεράστιας εκστρατείας κλοπής δεδομένων MOVEit.
Τα ποσοστά δημιουργίας εσόδων από λύτρα πέφτουν σε ιστορικό χαμηλό παρά το άλμα στις μέσες πληρωμές λύτρων
Το δεύτερο τρίμηνο του 2023, το ποσοστό των επιθέσεων ransomware που είχαν ως αποτέλεσμα το θύμα να πληρώσει, έπεσε στο ιστορικό χαμηλό του 34%. Η τάση αντιπροσωπεύει τα σύνθετα αποτελέσματα που έχουμε σημειώσει προηγουμένως των εταιρειών που συνεχίζουν να επενδύουν σε περιουσιακά στοιχεία ασφάλειας, συνέχειας και εκπαίδευσης για την αντιμετώπιση συμβάντων. Παρά αυτά τα ενθαρρυντικά στατιστικά στοιχεία, οι παράγοντες απειλών ransomware και ολόκληρη η οικονομία του εκβιασμού στον κυβερνοχώρο, συνεχίζουν να εξελίσσουν τις τακτικές επιθέσεων και εκβιασμών τους.
Η συμμορία ransomware Bl00dy επιστρέφει
Ασφάλεια AzAl
σημείωσε ότι η συμμορία ransomware στρατολογεί νέες θυγατρικές, αλλά απαιτεί πρώτα μια πληρωμή.
Το Bl00dy ransomware έχει πλέον διαφημιστεί στο φόρουμ RAMP και ζητά 10 χιλιάδες USD για να συμμετάσχει στο πρόγραμμα συνεργατών του. Αυτή είναι η μισή τιμή της χρέωσης Lockbits. Το Bl00dy φαίνεται να έχει αισθανθεί κάποια ζέστη και θέλει να είναι πιο κρυφό. Αξίζει να σημειωθεί ότι η αφίσα φαίνεται να είναι ομιλητής της αγγλικής γλώσσας.
Νέες παραλλαγές STOP Ransomware
Το PCrisk βρήκε νέες παραλλαγές STOP που προσαρτούν το
.kiqu
και
.kizu
επεκτάσεις.
Νέο ransomware Black Hunt 2.0
Το PCrisk βρήκε ένα νέο Kronos ransomware που προσαρτά το
.Κυνήγι2
και ρίχνει σημειώσεις λύτρων με όνομα
#BlackHunt_ReadMe.txt
και
#BlackHunt_ReadMe.hta
.
Αυτά για αυτήν την εβδομάδα! Ελπίζω όλοι να έχουν ένα όμορφο Σαββατοκύριακο!
