Το Rash of New Ransomware Variants ξεπηδά στην άγρια ​​φύση

Οι ομάδες ασφαλείας των επιχειρήσεων μπορούν να προσθέσουν τρεις ακόμη παραλλαγές ransomware στη συνεχώς αυξανόμενη λίστα απειλών ransomware για τις οποίες πρέπει να παρακολουθούν.

Οι τρεις παραλλαγές — Vohuk, ScareCrow και AESRT — όπως τα περισσότερα εργαλεία ransomware, στοχεύουν συστήματα Windows και φαίνεται να πολλαπλασιάζονται σχετικά γρήγορα σε συστήματα που ανήκουν σε χρήστες σε πολλές χώρες. Ερευνητές ασφαλείας στα εργαστήρια FortiGuard της Fortinet που παρακολουθούν τις απειλές αυτή την εβδομάδα περιέγραψαν τα δείγματα ransomware ότι κερδίζουν έδαφος στη βάση δεδομένων ransomware της εταιρείας.

Η ανάλυση του Fortinet από τις τρεις απειλές έδειξε ότι είναι τυπικά εργαλεία ransomware του είδους που, ωστόσο, ήταν πολύ αποτελεσματικά στην κρυπτογράφηση δεδομένων σε παραβιασμένα συστήματα. Η ειδοποίηση του Fortinet δεν προσδιόρισε τον τρόπο με τον οποίο οι χειριστές των νέων δειγμάτων ransomware διανέμουν το κακόβουλο λογισμικό τους, αλλά σημείωσε ότι το ηλεκτρονικό ταχυδρομείο ηλεκτρονικού ψαρέματος ήταν συνήθως ο πιο κοινός φορέας για μολύνσεις ransomware.

Ένας αυξανόμενος αριθμός παραλλαγών

«Αν η ανάπτυξη του ransomware το 2022 υποδεικνύει τι επιφυλάσσει το μέλλον, οι ομάδες ασφαλείας παντού θα πρέπει να περιμένουν να δουν αυτόν τον φορέα επίθεσης να γίνεται ακόμη πιο δημοφιλής το 2023», λέει ο Fred Gutierrez, ανώτερος μηχανικός ασφαλείας, στα εργαστήρια FortiGuard της Fortinet.

Μόλις το πρώτο εξάμηνο του 2022, ο αριθμός των νέων παραλλαγών ransomware που εντόπισε η FortiGuard Labs αυξήθηκε σχεδόν κατά 100% σε σύγκριση με το προηγούμενο εξάμηνο, λέει. Η ομάδα του FortiGuard Labs κατέγραψε 10,666 νέες παραλλαγές ransomware το πρώτο εξάμηνο του 2022 σε σύγκριση με μόλις 5,400 το δεύτερο εξάμηνο του 2021.

«Αυτή η ανάπτυξη νέων παραλλαγών ransomware οφείλεται κυρίως σε περισσότερους εισβολείς που εκμεταλλεύονται το ransomware-as-a-service (RaaS) στο Dark Web», λέει.

Και προσθέτει: «Επιπλέον, ίσως η πιο ανησυχητική πτυχή είναι ότι βλέπουμε μια αύξηση σε πιο καταστροφικές επιθέσεις ransomware σε κλίμακα και σχεδόν σε όλους τους τύπους τομέων, κάτι που αναμένουμε να συνεχιστεί μέχρι το 2023».

Τυποποιημένα αλλά αποτελεσματικά στελέχη Ransomware

Η παραλλαγή του ransomware Vohuk που ανέλυσαν οι ερευνητές του Fortinet φάνηκε να είναι στην τρίτη επανάληψη, υποδεικνύοντας ότι οι συντάκτες του το αναπτύσσουν ενεργά. 

Το κακόβουλο λογισμικό ρίχνει μια σημείωση λύτρων, "README.txt", σε παραβιασμένα συστήματα που ζητά από τα θύματα να επικοινωνήσουν με τον εισβολέα μέσω email με ένα μοναδικό αναγνωριστικό, είπε η Fortinet. Το σημείωμα ενημερώνει το θύμα ότι ο δράστης δεν έχει πολιτικά κίνητρα, αλλά ενδιαφέρεται μόνο για οικονομικό όφελος — πιθανώς για να καθησυχάσει τα θύματα ότι θα λάμβαναν πίσω τα δεδομένα τους εάν πλήρωναν τα λύτρα που ζητούσαν.

Εν τω μεταξύ, "το ScareCrow είναι ένα άλλο τυπικό ransomware που κρυπτογραφεί αρχεία σε μηχανήματα των θυμάτων", δήλωσε η Fortinet. «Το σημείωμά του για λύτρα, με τίτλο «readme.txt», περιέχει τρία κανάλια Telegram που μπορούν να χρησιμοποιήσουν τα θύματα για να μιλήσουν με τον εισβολέα». 

Αν και το σημείωμα λύτρων δεν περιέχει συγκεκριμένες οικονομικές απαιτήσεις, είναι ασφαλές να υποθέσουμε ότι τα θύματα θα χρειαστεί να πληρώσουν λύτρα για να ανακτήσουν αρχεία που ήταν κρυπτογραφημένα, είπε η Fortinet.

Η έρευνα του προμηθευτή ασφαλείας έδειξε επίσης κάποια επικάλυψη μεταξύ του ScareCrow και του διαβόητου Συνεχής παραλλαγή ransomware, ένα από τα πιο παραγωγικά εργαλεία ransomware ποτέ. Και οι δύο, για παράδειγμα, χρησιμοποιούν τον ίδιο αλγόριθμο για την κρυπτογράφηση αρχείων, και όπως ακριβώς το Conti, το ScareCrow διαγράφει σκιώδη αντίγραφα χρησιμοποιώντας το βοηθητικό πρόγραμμα γραμμής εντολών WMI (wmic) για να κάνει τα δεδομένα μη ανακτήσιμα σε μολυσμένα συστήματα. 

Οι υποβολές στο VirusTotal υποδηλώνουν ότι το ScareCrow έχει μολύνει συστήματα στις Ηνωμένες Πολιτείες, τη Γερμανία, την Ιταλία, την Ινδία, τις Φιλιππίνες και τη Ρωσία.

Και τέλος, το AESRT, η τρίτη νέα οικογένεια ransomware που εντόπισε πρόσφατα η Fortinet στη φύση, έχει λειτουργικότητα παρόμοια με τις άλλες δύο απειλές. Η κύρια διαφορά είναι ότι αντί να αφήσει ένα σημείωμα λύτρων, το κακόβουλο λογισμικό παρέχει ένα αναδυόμενο παράθυρο με τη διεύθυνση email του εισβολέα και ένα πεδίο που εμφανίζει ένα κλειδί για την αποκρυπτογράφηση κρυπτογραφημένων αρχείων μόλις το θύμα πληρώσει τα λύτρα που ζητήθηκαν.

Το Crypto-Collapse θα επιβραδύνει την απειλή του Ransomware;

Οι νέες παραλλαγές προσθέτουν στη μακρά — και συνεχώς αυξανόμενη — λίστα των απειλών ransomware που οι οργανισμοί πρέπει πλέον να αντιμετωπίζουν σε καθημερινή βάση, καθώς οι φορείς εκμετάλλευσης ransomware συνεχίζουν ανελέητα να σφυρηλατούν τους επιχειρηματικούς οργανισμούς. 

Τα δεδομένα για επιθέσεις ransomware που ανέλυσε η LookingGlass νωρίτερα φέτος έδειξαν ότι υπήρχαν κάποιες 1,133 επιβεβαιωμένες επιθέσεις ransomware μόνο το πρώτο εξάμηνο του 2022 — περισσότερα από τα μισά (52%) από τα οποία επηρέασαν τις αμερικανικές εταιρείες. Η LookingGlass βρήκε ότι η πιο ενεργή ομάδα ransomware ήταν αυτή πίσω από την παραλλαγή LockBit, ακολουθούμενη από ομάδες πίσω από το Conti, το Black Basta και το Alphy ransomware.

Ωστόσο, ο ρυθμός δραστηριότητας δεν είναι σταθερός. Ορισμένοι προμηθευτές ασφαλείας ανέφεραν ότι παρατήρησαν μια μικρή επιβράδυνση στη δραστηριότητα ransomware κατά τη διάρκεια ορισμένων περιόδων του έτους.

Σε μια ενδιάμεση έκθεση, η SecureWorks, για παράδειγμα, είπε ότι οι δεσμεύσεις της για την αντιμετώπιση περιστατικών τον Μάιο και τον Ιούνιο υποδηλώνουν ότι ο ρυθμός με τον οποίο συνέβαιναν επιτυχημένες νέες επιθέσεις ransomware είχε επιβραδυνθεί λίγο.

Η SecureWorks εντόπισε ότι η τάση είναι πιθανό να έχει να κάνει, τουλάχιστον εν μέρει, με τη διακοπή της λειτουργίας Conti RaaS φέτος και άλλους παράγοντες όπως η ανατρεπτικό αποτέλεσμα του πολέμου στην Ουκρανία σε συμμορίες ransomware.

Μια άλλη αναφορά, από το Identity Theft Resource Center (ITRC), ανέφερε μείωση 20% στις επιθέσεις ransomware που οδήγησε σε παράβαση κατά το δεύτερο τρίμηνο του 2022 σε σύγκριση με το πρώτο τρίμηνο του έτους. Το ITRC, όπως και το SecureWorks, αναγνώρισε την πτώση ως σχέση με τον πόλεμο στην Ουκρανία και, σημαντικά, με την κατάρρευση κρυπτονομισμάτων που ευνοούν οι χειριστές ransomware για πληρωμές.

Ο Bryan Ware, Διευθύνων Σύμβουλος της LookingGlass, λέει ότι πιστεύει ότι η κατάρρευση κρυπτογράφησης θα μπορούσε να εμποδίσει τους χειριστές ransomware το 2023. 

«Το πρόσφατο σκάνδαλο FTX έχει να κάνει δεξαμενές κρυπτονομισμάτων και αυτό επηρεάζει τη δημιουργία εσόδων από ransomware και το καθιστά ουσιαστικά απρόβλεπτο», λέει. "Αυτό δεν προμηνύεται καλό για τους χειριστές ransomware, καθώς θα πρέπει να εξετάσουν άλλες μορφές δημιουργίας εσόδων μακροπρόθεσμα."

Η Ware λέει το τάσεις γύρω από τα κρυπτονομίσματα έχει κάποιες ομάδες ransomware που σκέφτονται να χρησιμοποιήσουν τα δικά τους κρυπτονομίσματα: «Δεν είμαστε σίγουροι ότι αυτό θα υλοποιηθεί, αλλά συνολικά, οι ομάδες ransomware ανησυχούν για το πώς θα δημιουργήσουν έσοδα και θα διατηρήσουν κάποιο επίπεδο ανωνυμίας στο μέλλον».