Το SunCrypt είναι μια επιχείρηση ransomware as service (RaaS) που παρατηρήθηκε πρώτη φορά τον Οκτώβριο του 2019 και έγινε περισσότερη γνωστή στα μέσα του 2020. Παρόλο που το ransomware δεν έχει εντοπιστεί σε πολλές επιθέσεις το τελευταίο διάστημα, κάποιοι ερευνητές πιστεύουν ότι είναι ακόμα ενεργό, καθώς οι χειριστές του προσπαθούν να προσθέσουν νέες δυνατότητες και χαρακτηριστικά.
Αξίζει να σημειωθεί ότι το SunCrypt ransomware ήταν ένα από τα πρώτα που χρησιμοποίησαν την τεχνική του τριπλού εκβιασμού. Αυτή η τεχνική περιλαμβάνει την κρυπτογράφηση αρχείων, την απειλή δημοσίευσης κλεμμένων δεδομένων και την πραγματοποίηση επιθέσεων DDoS σε θύματα που δεν πληρώνουν τα λύτρα.
Δείτε επίσης: Ποιο ransomware κρυπτογραφεί πιο γρήγορα τα δεδομένα; (σύγκριση 10 παραλλαγών)
Η πρώτη έκδοση αυτού του ransomware γράφτηκε σε GO, αλλά μετά την κυκλοφορία των εκδόσεων C και C++ στα μέσα του 2020, η ομάδα έγινε πολύ πιο ενεργή, χωρίς όμως να είναι τόσο δραστήρια όσο άλλες ομάδες ransomware.
Σύμφωνα με μια έκθεση της Minerva Labs, όμως, υπάρχει τώρα μια ενημερωμένη έκδοση του SunCrypt ransomware που περιλαμβάνει νέες δυνατότητες.
SunCrypt ransomware: Νέα χαρακτηριστικά
Οι νέες δυνατότητες της παραλλαγής SunCrypt 2022 φαίνεται πως περιλαμβάνουν τερματισμό διαδικασιών (process termination), διακοπή υπηρεσιών και wiping του μηχανήματος για εκτέλεση ransomware.
Αυτά τα χαρακτηριστικά δεν είναι άγνωστα σε άλλα στελέχη ransomware, αλλά για το SunCrypt, είναι πολύ πρόσφατες προσθήκες. Σύμφωνα με τη Minerva Labs, πιθανότατα η νέα έκδοση βρίσκεται ακόμα σε πρώιμο στάδιο ανάπτυξης.
Το process termination περιλαμβάνει διεργασίες με μεγάλους πόρους που μπορούν να εμποδίσουν την κρυπτογράφηση αρχείων, όπως το WordPad (έγγραφα), το SQLWriter (βάσεις δεδομένων) και το Outlook (email). Συγκεκριμένα, το SunCrypt τερματίζει τις ακόλουθες διεργασίες πριν από την έναρξη της κρυπτογράφησης:
- Ocssd.exe
- Dbsnmp.exe
- Synctime.exe
- Agntsvc.exe
- Isqlplussvc.exe
- Xfssvccon.exe
- Mydesktopservice.exe
- Ocautoupds.exe
- Encsvc.exe
- Firefox.exe
- Tbirdconfig.exe
- Mydesktopqos.exe
- Ocomm.exe
- dbeng50.exe
- sqbcoreservice.exe
- excel.exe
- infopath.exe
- msaccess.exe
- mspub.exe
- onenote.exe
- outlook.exe
- powerpnt.exe
- steam.exe
- thebat.exe
- thunderbird.exe
- visio.exe
- winword.exe
- wordpad.exe
- ssms.exe
- notepad/notepad++.exe
- fdhost.exe
- fdlauncher.exe
- launchpad.exe
- sqlceip.exe
- sqlwriter.exe
Όσον αφορά στη λειτουργία wiping, ενεργοποιείται στο τέλος της ρουτίνας κρυπτογράφησης, χρησιμοποιώντας δύο API calls για τη διαγραφή όλων των αρχείων καταγραφής. Αφού διαγραφούν όλα τα αρχεία καταγραφής, το ransomware διαγράφεται από το δίσκο χρησιμοποιώντας το cmd.exe με την ακόλουθη εντολή: “cmd.exe /C ping 127.0.0.1 -n 10 > nul & del /f /q “path to the currently running process” > nul” .
Δείτε επίσης: FBI: Tο 2021 οι ομάδες ransomware χτύπησαν 649 κρίσιμες υποδομές των ΗΠΑ
Ένα από τα σημαντικά παλιά χαρακτηριστικά που διατηρούνται στη νεότερη έκδοση του SunCrypt ransomware είναι η χρήση I/O completion ports που επιτρέπει ταχύτερη κρυπτογράφηση μέσω process threading.
Επίσης, φαίνεται πως το SunCrypt συνεχίζει να κρυπτογραφεί τόσο local volumes όσο και network shares και εξακολουθεί να διατηρεί ένα allowlist για τα Windows directory, boot.ini, dll files, recycle bin και άλλα στοιχεία που καθιστούν έναν υπολογιστή ανενεργό εάν είναι κρυπτογραφημένα.
Δραστηριότητα του ransomware
Σύμφωνα με στατιστικά στοιχεία από το ID Ransomware, το οποίο παρέχει μια καλή ιδέα για τη δραστηριότητα των ransomware, το SunCrypt εξακολουθεί να κρυπτογραφεί θύματα, αλλά φαίνεται να έχει περιορισμένη δραστηριότητα. Αυτό ισχύει τουλάχιστον προς το παρόν.
Δείτε επίσης: Συνελήφθη άνδρας που παρακολουθούσε την κοπέλα του με Apple Watch
Ωστόσο, η ομάδα μπορεί να στοχεύει εταιρείες υψηλού προφίλ και να κρατά ιδιωτικές τις διαπραγματεύσεις για την πληρωμή λύτρων, χωρίς να τραβάει την προσοχή των αρχών επιβολής του νόμου και των μέσων ενημέρωσης.
Με τη νέα έκδοση, το SunCrypt ransomware ενδέχεται να γίνει πιο ενεργό και επικίνδυνο.
Πηγή: Bleeping Computer