ახალი WastedLocker ransomware ითხოვს მილიონობით დოლარის გადახდას

Evil Corp, ერთ-ერთი ყველაზე დიდი მავნე პროგრამა ინტერნეტში, ნელ-ნელა სიცოცხლეს დაუბრუნდა მას შემდეგ, რაც წევრებს ბრალი წაუყენეს აშშ-ს იუსტიციის დეპარტამენტმა 2019 წლის დეკემბერში.

მოხსენებაში გაზიარებული ZDNet დღეს, Fox-ITNCC ჯგუფის განყოფილებამ დეტალურად აღწერა ჯგუფის უახლესი აქტივობები DOJ ბრალდებების შემდეგ.

Evil Corp მოკლე ისტორია

Evil Corp ჯგუფი, ასევე ცნობილი როგორც Dridex ბანდა, აქტიურია 2007 წლიდან, როდესაც რამდენიმე წევრი ადრე ჩართული ZeuS საბანკო ტროიანში, გადაწყვიტეს საკუთარი ბედი სცადა განაწილებაში მავნე პროგრამა.

თავდაპირველი ძალისხმევა მიმართული იყო Cridex საბანკო ტროას გავრცელებაზე, მავნე პროგრამის შტამი, რომელიც მოგვიანებით განვითარდა Dridex-ის საბანკო ტროიანად, მოგვიანებით კი განვითარდა Dridex მრავალ დანიშნულების მავნე პროგრამაში ინსტრუმენტთა ნაკრები.

წლების განმავლობაში Evil Corp თავისი Dridex-ის ოპერაციით გახდა ერთ-ერთი უდიდესი მავნე პროგრამა და სპამის ბოტნეტი ინტერნეტში. ჯგუფმა გაავრცელა საკუთარი მავნე პროგრამა, მაგრამ ასევე მავნე პროგრამა სხვა კრიმინალური ჯგუფებისთვის, პერსონალური სპამის შეტყობინებებთან ერთად.

ჯგუფმა ფეხის თითები გადაიტანა გამოსასყიდის დისტრიბუციაში Locky-ის გამოსასყიდი პროგრამის გავრცელებით სახლის მომხმარებლებზე 2016 წლის განმავლობაში.

როდესაც გამოსასყიდი პროგრამების ბაზარმა დაიწყო სამიზნეების გადატანა სახლის მომხმარებლებიდან საწარმოს მიზნებზე, Evil Corp ბანდა ასევე ადაპტირდნენ და Locky შტამის სამუდამოდ ჩამოგდების შემდეგ, მათ შექმნეს ახალი საბაჟო გამოსასყიდი, სახელად BitPaymer.

ჯგუფმა გამოიყენა Dridex მავნე პროგრამით ინფიცირებული კომპიუტერების უზარმაზარი ბოტნეტი კორპორატიული ქსელების მოსაძებნად და შემდეგ BitPaymer-ის განსათავსებლად უმსხვილეს საწარმო მიზნებზე, რომელთა იდენტიფიცირებაც შეეძლოთ.

ჯგუფი ფუნქციონირებდა BitPaymer-ს 2017-დან 2019 წლამდე, როდესაც დაიწყო ახალი ინფექციების შემცირება. მიზეზები გაურკვეველია, მაგრამ BitPaymer ინფექციების შენელება შეიძლება ასევე დაკავშირებული იყოს Dridex ბოტნეტთან, რომელიც ანელებს მის აქტივობას 2017 და 2019 წლებში.

იუსტიციის სამინისტროს ბრალდებების შედეგები

Fox-IT ამბობს, რომ ეს შენელება დასრულდა 2019 წლის დეკემბერში წარდგენილი იუსტიციის სამინისტროს ბრალდებებით. გახმაურებული ბრალდების წაყენების შემდეგ ჯგუფი მთელი თვის განმავლობაში დუმდა 2020 წლის იანვრამდე.

Fox-IT-ის თანახმად, ჯგუფი სიცოცხლეს დაუბრუნდა იანვარში და წამოიწყო რამდენიმე მავნე პროგრამის კამპანია, ჩვეულებრივ, სხვა თაღლითებისთვის, მარტამდე, როდესაც ისინი კვლავ გაჩუმდნენ.

თუმცა, როდესაც ჯგუფი მეორედ დაუბრუნდა სიცოცხლეს 2020 წელს, მათ ეს გააკეთეს ახალი ინსტრუმენტებით. Fox-IT ამბობს, რომ ჯგუფმა შექმნა გამოსასყიდი პროგრამის ახალი შტამი, რათა შეცვალოს მოძველებული BitPaymer ვარიანტი, რომელსაც ისინი იყენებდნენ 2017 წლის დასაწყისიდან.

BitPaymer-ის შეცვლის რეალური მიზეზები საიდუმლოებით არის მოცული; თუმცა, Fox-IT ამბობს, რომ ეს ჩანაცვლება, როგორც ჩანს, სრულიად ახალი გამოსასყიდი შტამია, დაწერილი ნულიდან.

Evil Corp იწყებს WastedLocker-ის დანერგვას

Fox-IT ამბობს, რომ ამ ახალ გამოსასყიდ პროგრამას WastedLocker დაარქვეს ფაილის გაფართოების საფუძველზე, რომელიც მას ამატებს დაშიფრულ ფაილებს, რომლებიც ჩვეულებრივ შედგება მსხვერპლის სახელისა და სტრიქონისაგან „wasted“.

უსაფრთხოების მკვლევარები ამბობენ, რომ ამ ახალი გამოსასყიდის პროგრამის ანალიზმა გამოავლინა მცირე კოდის ხელახალი გამოყენება ან კოდის მსგავსება BitPaymer-სა და WastedLocker-ს შორის; თუმცა, ზოგიერთი მსგავსება კვლავ რჩება გამოსასყიდის შენიშვნის ტექსტში.

ინტერვიუში ZDNet დღეს ადრე, Fox-IT ამბობს, რომ ისინი თვალყურს ადევნებენ ამ ახალი გამოსასყიდის ოჯახის გამოყენებას 2020 წლის მაისიდან. მათი თქმით, გამოსასყიდი პროგრამა ექსკლუზიურად განლაგებულია ამერიკული კომპანიების წინააღმდეგ.

"გამოსყიდვის მოთხოვნები, რომლებსაც ითხოვს Evil Corp, ახლა ჩვეულებრივ მილიონებს აღწევს", - განუცხადა მაარტენ ვან დანციგმა, Fox-IT უსაფრთხოების მკვლევარმა. ZDNet დღეს.

„ჩვენ ვნახეთ 10 მილიონ დოლარზე მეტი მოთხოვნა“, დასძინა მან.

Fox-IT-მა თქვა, რომ ვერ დაადასტურა, გადაიხადა თუ არა რომელიმე WastedLocker-ის მსხვერპლმა გამოსასყიდის მოთხოვნა.

მიუხედავად ამისა, ისინი ამბობენ, რომ Evil Corp ოპერატორები უკიდურესად აგრესიულები არიან ახალი WastedLocker გამოსასყიდის გამოყენებისას.

„როგორც წესი, ისინი ხვდებიან ფაილის სერვერებს, მონაცემთა ბაზის სერვისებს, ვირტუალურ მანქანებსა და ღრუბლოვან გარემოს“, - აცხადებენ მკვლევარები.

გარდა ამისა, Fox-IT გუნდი ამბობს, რომ Evil Corp ასევე შეეცდება ჩაშალოს სარეზერვო აპლიკაციები და მასთან დაკავშირებული ინფრასტრუქტურა, რათა გაზარდოს კომპანიების აღდგენისთვის საჭირო დრო. იმ შემთხვევაში, თუ კომპანიებს არ აქვთ ოფლაინ სარეზერვო ასლები, სარეზერვო ასლების წაშლა თითქმის უბიძგებს მსხვერპლს გამოსასყიდის გადახდისკენ - თუ მათ შეუძლიათ Evil Corp-ის ახალი მრავალმილიონიანი "გაშიფვრა" ფასები."

VirusTotal-ში წარდგენილ ნიმუშებზე დაყრდნობით, ჩვენ შევაფასებთ, რომ WastedLocker უკვე გამოიყენებოდა როგორც გამოსასყიდ პროგრამა. ტვირთამწეობა რამდენიმე შემთხვევაში - დაახლოებით 5, ალბათ უფრო მეტიც," მაიკლ სანდი, Fox-IT უსაფრთხოების მკვლევარი, უთხრა ZDNet.

არ არის მონაცემთა ქურდობა ან გაჟონვის საიტი

მიუხედავად ამისა, Fox-IT ამბობს, რომ Evil Corp-ს არ გაუკეთებია ერთი რამ, რაც ახლა ძალიან პოპულარულია სხვა გამოსასყიდის ბანდებთან.

მიუხედავად მთელი ამ დროის დახარჯვისა ახალი გამოსასყიდის შტამის შემუშავებაზე, WastedLocker არ შეიცავს მონაცემთა ქურდობის ფუნქციებს.

დღესდღეობით, თითქმის 10-დან 15-მდე ransomware ბანდა დააინფიცირებს კომპანიის ქსელს, მოიპარავს საკუთრების მონაცემებს და შემდეგ იმუქრება ფაილების ონლაინ გამოქვეყნებით. გაჟონვის ადგილებზე ე.წ ან ფაილების გაზიარების პორტალები.

Evil Corp მსგავსს არაფერს აკეთებს, თქვა Fox-IT. ეს არ ნიშნავს რომ ჯგუფს არ შეუძლია ამის გაკეთება, არამედ იმას, რომ მათ არჩიეს ამის გაკეთება. Fox-IT ექსპერტები ამბობენ, რომ მოპარული მონაცემების გაჟონვა, როგორც წესი, იწვევს მედიის დიდ ყურადღებას, რასაც ჰაკერები, სავარაუდოდ, ცდილობენ თავიდან აიცილონ რადგან მათი ზოგიერთი წევრი უკვე შედის FBI-ის კიბერ ყველაზე ძებნილთა სიაში და არ სურთ, რომ აშშ-ს ხელისუფლებამ მათ პრიორიტეტი მიენიჭოს. დაპატიმრებები.