Buran: Νέο ransomware προσελκύει ανταγωνιστές μέσω μειωμένων τιμών

Το στέλεχος VeganLocker malware παρέχει τη βάση για ένα νέο ransomware, το Buran, το οποίο προσελκύει τους ανταγωνιστές μέσω μειωμένων τιμών.

Σύμφωνα με τους ερευνητές του McAfee, Alexandre Mundo και Marc Rivero Lopez, το Buran ανιχνεύτηκε για πρώτη φορά τον Μάιο του 2019 και έχει πλέον προστεθεί στις άλλες προσφορές του RaaS, όπως στο Revil και στο Phobos.

Αρχικά ανακοινώθηκε σε ένα ρωσικό forum, καθώς οι χειριστές του Buran φαίνεται να επικεντρώνονται στην εδραίωση προσωπικών σχέσεων με τους εγκληματίες πελάτες.

Συνολικά, το 25% των παράνομων κερδών που πραγματοποιούνται μέσω επιτυχών λοιμώξεων λαμβάνονται από τους συγγραφείς, δίνοντάς τους μια σημαντική έκπτωση στο 30-40% που συνήθως απαιτείται από τους φορείς εκμετάλλευσης της RaaS.

Ο δείκτης μπορεί επίσης να αποτελέσει αντικείμενο διαπραγμάτευσης “με όποιον μπορεί να εγγυηθεί ένα εντυπωσιακό επίπεδο μόλυνσης με το Buran”, λένε οι ερευνητές.

Το Buran περιγράφεται στην αγγελία ως ένα σταθερό στέλεχος ransomware που χρησιμοποιεί offline cryptoclocker, υποστήριξη 24 ώρες το 24ωρο, global και session.

Το ransomware είναι επίσης σε θέση να σκανάρει local drives και network paths και περιέχει προαιρετικές λειτουργίες, συμπεριλαμβανομένης της κρυπτογράφησης αρχείων.

Οι φορείς εκμετάλλευσης Buran ισχυρίζονται ότι το ransomware είναι συμβατό με όλες τις εκδόσεις του λειτουργικού συστήματος Microsoft Windows, αλλά η McAfee διαπίστωσε κατά τη διάρκεια της έρευνάς της ότι ορισμένες παλαιότερες εκδόσεις, συμπεριλαμβανομένων των Windows XP

, δεν είναι συμβατές.

Το kit exploit Rig είναι η προτιμώμενη μέθοδος παράδοσης για το νέο ransomware και η ευπάθεια CVE-2018-8174 του Microsoft Internet Explorer VBScript Engine RCE χρησιμοποιείται για την εκμετάλλευση μηχανών για ανάπτυξη.

Δύο εκδόσεις του Buran, γραμμένες σε Delphi, έχουν βρεθεί μέχρι στιγμής – η δεύτερη εκ των οποίων περιέχει βελτιώσεις από το πρωτότυπο. Το ransomware θα ελέγξει αν το μηχάνημα του θύματος είναι εγγεγραμμένο στη Ρωσία, τη Λευκορωσία ή την Ουκρανία, και αν οι έλεγχοι αυτοί επιστρέψουν θετικοί.

Αφού βεβαιωθείτε ότι το ransomware πρόγραμμα είναι σε θέση να δημιουργήσει αρχεία και να τα αποθηκεύσει σε προσωρινούς φακέλους, το Buran θα δημιουργήσει registry keys για να διατηρήσει την ανθεκτικότητα, να κρυπτογραφήσει αρχεία και να δημοσιεύσει μια σημείωση λύτρων.

Το Buran προέρχεται από το VegaLocker και το Jumper και θεωρείται ότι είναι το επόμενο στάδιο εξέλιξης λόγω παρόμοιων συμπεριφορών, τακτικών, τεχνικών και διαδικασιών (TTPs) που βρέθηκαν στον κώδικα του.