Οι ερευνητές πιστεύουν ότι ένα νέο στέλεχος ransomware χρησιμοποιείται για να στοχεύσει οργανισμούς στην Κίνα, το Βιετνάμ, τη Βουλγαρία και διάφορες άλλες αγγλόφωνες χώρες.

Δείτε επίσης: Clop ransomware: Χρησιμοποιεί πλέον torrents για τη διαρροή δεδομένων

Οι ειδικοί της Cisco Talos δήλωσαν τη Δευτέρα ότι ανακάλυψαν έναν άγνωστο μέχρι πρότινος δράστη- που φέρεται να προέρχεται από το Βιετνάμ – ο οποίος διεξάγει επιθέσεις που ξεκίνησαν ήδη από τις 4 Ιουνίου.

Το κακόβουλο λογισμικό είναι μια παραλλαγή του Yashma ransomware – ένα στέλεχος που έχει σε μεγάλο βαθμό εκλείψει από τότε που κυκλοφόρησε ένας αποκρυπτογράφος πέρυσι.

Το σημείωμα λύτρων του δράστη μιμείται εκείνο του WannaCry, το οποίο προκάλεσε παγκόσμια κατακραυγή το 2017 μετά από διάφορες επιθέσεις που έκαναν θραύση στα πρωτοσέλιδα. Οι εκδόσεις του σημειώματος λύτρων έρχονται στα αγγλικά, τα βουλγαρικά, τα βιετναμέζικα και τα κινεζικά.

Το ποσό των λύτρων διπλασιάζεται εάν τα θύματα δεν πληρώσουν εντός τριών ημερών και η συμμορία παρέχει μια διεύθυνση Gmail για επικοινωνία. Δεν αναγράφεται ποσό λύτρων και δεν υπάρχει Bitcoin στο λογαριασμό που μοιράζεται στο σημείωμα, υποδεικνύοντας ότι η επιχείρηση “μπορεί να βρίσκεται ακόμη σε αρχικό στάδιο”.

Μετά την κρυπτογράφηση των συστημάτων του θύματος, η ταπετσαρία του θύματος αλλάζει σε ένα σημείωμα που ισχυρίζεται ότι όλα τα αρχεία έχουν κρυπτογραφηθεί.

Η Cisco Talos σημείωσε ότι το ransomware Yashma είναι η ίδια μια αναβαθμισμένη έκδοση του ransomware Chaos που εμφανίστηκε για πρώτη φορά τον Μάιο του 2022. Με βάση μια σε βάθος έρευνα των χαρακτηριστικών του Yashma από ερευνητές ασφαλείας της BlackBerry πέρυσι, η Cisco Talos δήλωσε ότι η νέα παραλλαγή έχει διατηρήσει σε μεγάλο βαθμό ανέπαφο το μεγαλύτερο μέρος του αρχικού ransomware.

Πρόταση: Το FBI ερευνά επίθεση ransomware σε υγειονομικό πάροχο με έδρα την Καλιφόρνια

Μια αλλαγή όμως ξεχώρισε για τη Cisco Talos. Αντί να αποθηκεύει το σημείωμα λύτρων στο ransomware, αυτή η νέα παραλλαγή κατεβάζει το σημείωμα λύτρων από ένα αποθετήριο GitHub που ελέγχεται από hackers.

Το τροποποιημένο ransomware αποφεύγει την ανίχνευση από τα προγράμματα ασφάλειας τελικών σημείων και antivirus, καθώς δεν περιλαμβάνει αναγνωρίσιμες συμβολοσειρές για τα λύτρα στον κώδικα. Αυτή η έκδοση διατηρεί επίσης τη λειτουργία αντι-ανάκτησης του Yashma: διαγράφει τα αρχικά μη κρυπτογραφημένα αρχεία, τα αντικαθιστά με έναν μόνο χαρακτήρα και στη συνέχεια διαγράφει εντελώς το αρχείο. Αυτή η τακτική περιπλέκει τις προσπάθειες των φορέων αντιμετώπισης περιστατικών και των εγκληματολογικών αναλυτών να ανακτήσουν τα διαγραμμένα αρχεία από τη συσκευή του θύματος.

Αρκετοί οργανισμοί που παρακολουθούν επιθέσεις ransomware έχουν σημειώσει ότι έχει αυξηθεί μαζικά ο αριθμός των ειδών που εμφανίζονται.

Η FortiGuard Labs δήλωσε τη Δευτέρα ότι έχει “καταγράψει σημαντικές αιχμές στην αύξηση των παραλλαγών ransomware τα τελευταία χρόνια, οι οποίες τροφοδοτούνται σε μεγάλο βαθμό από την υιοθέτηση του Ransomware-as-a-Service (RaaS)”.

Ο ειδικός σε θέματα ransomware της Recorded Future, Allan Liska, σημείωσε πρόσφατα ότι τα περισσότερα από τα “νέα” είδη ransomware είναι απλώς παραλλαγές των εκδόσεων που είχαν κυκλοφορήσει προηγουμένως. Τα στοιχεία που συγκέντρωσε η ομάδα του έδειξαν ότι λιγότερο από το 25% των 328 “νέων” παραλλαγών ransomware είναι στην πραγματικότητα νέες.

Διαβάστε επίσης: Φινλανδία: Αντιμετωπίζει τετραπλάσιες επιθέσεις ransomware από τότε που εντάχθηκε στο NATO

πηγή πληροφοριών: therecord.media