Το ransomware LostTrust που εντοπίστηκε σε επιθέσεις σχετικά πρόσφατα, πιστεύεται ότι είναι ένα rebrand του MetaEncryptor ransomware, αφού χρησιμοποιεί σχεδόν πανομοιότυπα sites διαρροής δεδομένων και encryptors.

Το LostTrust άρχισε τις επιθέσεις το Μάρτιο του 2023, αλλά έγινε περισσότερο γνωστό τον Σεπτέμβριο, όταν άνοιξε ένα site διαρροής δεδομένων των θυμάτων.

Επί του παρόντος, ο ιστότοπος διαρροής δεδομένων απαριθμεί 53 θύματα από όλο τον κόσμο. Μάλιστα, τα δεδομένα κάποιων οργανισμών έχουν ήδη διαρρεύσει, επειδή δεν πληρώθηκαν τα λύτρα.

Δεν είναι σαφές εάν η συμμορία ransomware στοχεύει μόνο συσκευές Windows ή εάν χρησιμοποιούν και Linux encryptor.

Ένα rebrand του MetaEncryptor

Το MetaEncryptor ransomware εντοπίστηκε τον Αύγουστο του 2022, συγκεντρώνοντας δώδεκα θύματα στον ιστότοπο διαρροής δεδομένων του έως τον Ιούλιο του 2023. Έκτοτε, δεν έχουν προστεθεί άλλοι οργανισμοί.

Δείτε επίσης: Το Medusa ransomware έπληξε το Philippine Health Insurance Corporation

Ωστόσο, τις τελευταίες ημέρες, έχει κυκλοφορήσει ένα νέο site διαρροής δεδομένων από τη συμμορία “LostTrust”, με τον ερευνητή κυβερνοασφάλειας Stefano Favarato να παρατηρεί ότι χρησιμοποιεί το ίδιο ακριβώς template και βιογραφικό με τον ιστότοπο του MetaEncryptor.

Είμαστε μια ομάδα νέων που αυτοπροσδιορίζονται ως ειδικοί στον τομέα της ασφάλειας δικτύων με τουλάχιστον 15 χρόνια εμπειρίας“, αναφέρει μια περιγραφή και στους δύο ιστοτόπους.

Αυτό το blog και αυτό το έργο είναι ΜΟΝΟ για εμπορική χρήση. Δεν έχουμε καμία σχέση με την πολιτική, τις υπηρεσίες πληροφοριών και την NSB“, αναφέρουν ακόμα.

Σύμφωνα με το BleepingComputer, παρατηρούνται, επίσης, ομοιότητες στους  LostTrust [VirusTotal] και MetaEncryptor [VirusTotal] encryptors. Υπάρχουν απλά κάποιες μικρές αλλαγές στα σημειώματα λύτρων, τα ενσωματωμένα public keys, τα ονόματα σημειώσεων λύτρων και τις κρυπτογραφημένες επεκτάσεις αρχείων.

Επιπλέον, ο ερευνητής κυβερνοασφάλειας MalwareHunterTeam είπε στο BleepingComputer ότι το LostTrust και το MetaEncryptor βασίζονται στο SFile2 ransomware encryptor.

Λόγω της σημαντικής επικάλυψης μεταξύ των δύο λειτουργιών, πιστεύεται ότι το LostTrust αποτελεί rebrand του MetaEncryptor ransomware.

LostTrust ransomware encryptor

Το BleepingComputer βρήκε ένα δείγμα του LostTrust encryptor και πραγματοποίησε μια σύντομη ανάλυση. Ο encryptor μπορεί να εκκινηθεί με δύο προαιρετικά command line arguments –onlypath (κρυπτογράφηση συγκεκριμένου path) και — enable-shares (κρυπτογράφηση network shares).

Αμέσως μετά, θα ανοίξει μια κονσόλα που θα εμφανίζει την τρέχουσα κατάσταση της διαδικασίας κρυπτογράφησης.

Δείτε επίσης: Οι χάκερ Lazarus παραβιάζουν την αεροδιαστημική εταιρεία με το νέο LightlessCan malware

Η συμβολοσειρά “METAENCRYPTING” στον encryptor υποδεικνύει ότι πρόκειται για έναν τροποποιημένο MetaEncryptor encryptor.

Όταν εκτελεστεί, το LostTrust θα απενεργοποιήσει και θα σταματήσει πολλές υπηρεσίες των Windows, ώστε να μπορέσει να κρυπτογραφήσει όλα τα αρχεία, συμπεριλαμβανομένων τυχόν υπηρεσιών που περιέχουν συμβολοσειρές Firebird, MSSQL, SQL, Exchange, wsbex, postgresql, BACKP, tomcat, SBS και SharePoint.

Επιπλέον, απενεργοποιούνται υπηρεσίες που σχετίζονται με το Microsoft Exchange.

Κατά την κρυπτογράφηση αρχείων, ο encryptor θα προσαρτήσει την επέκταση .losttrustencoded στα ονόματα των κρυπτογραφημένων αρχείων.

Τα σημειώματα λύτρων (!LostTrustEncoded.txt) θα δημιουργηθούν σε κάθε φάκελο της συσκευής. Εκεί οι επιτιθέμενοι αναφέρουν ότι ξεκίνησαν ως white hat hackers, αλλά δεν πληρώνονταν καλά και αποφάσισαν να στραφούν στο έγκλημα στον κυβερνοχώρο.

Η ομάδα μας έχει εκτεταμένο υπόβαθρο στο νόμιμο και το λεγόμενο white hat hacking. Ωστόσο, οι πελάτες συνήθως θεωρούσαν ότι οι ευπάθειες που βρίσκαμε ήταν μικρές και δεν μας πλήρωναν καλά για τις υπηρεσίες μας“, αναφέρει το σημείωμα λύτρων της ransomware συμμορίας LostTrust.

Έτσι αποφασίσαμε να αλλάξουμε το επιχειρηματικό μας μοντέλο. Τώρα καταλαβαίνετε πόσο σημαντικό είναι να διαθέτετε έναν καλό προϋπολογισμό για την ασφάλεια συστημάτων“.

Τα σημειώματα λύτρων αναφέρουν ακόμα τι ακριβώς συνέβη με τα αρχεία της εταιρείας και έχουν έναν μοναδικό σύνδεσμο προς τον ιστότοπο διαπραγμάτευσης Tor της συμμορίας. Αυτός ο ιστότοπος προσφέρει απλά τη δυνατότητα συνομιλίας με τους hackers, ώστε να γίνουν οι διαπραγματεύσεις για τα λύτρα.

Λέγεται ότι οι hackers πίσω από το LostTrust ransomware ζητούν από 100.000 $ έως μερικά εκατομμύρια.

Δείτε επίσης: Ποια είναι τα πιο συνηθισμένα Facebook scams;

Η ομάδα LostTrust χρησιμοποιεί έναν ιστότοπο διαρροής δεδομένων, όπου απειλεί να διαρρεύσει τα κλεμμένα δεδομένα των θυμάτων εάν δεν πληρώσουν τα λύτρα.

Όπως είπαμε και παραπάνω, η ransomware συμμορία LostTrust έχει 53 θύματα στον ιστότοπο αυτή τη στιγμή.

Τα ransomware συνεχίζουν να αποτελούν σοβαρή απειλή για την κυβερνοασφάλεια σε παγκόσμιο επίπεδο. Η συχνή εμφάνιση νέων εκδόσεων και η ταχεία προσαρμογή των επιτιθέμενων προκαλούν αυξανόμενη ανησυχία για τις επιχειρήσεις και τους ιδιώτες. Πρέπει να είμαστε πάντα σε επαγρύπνηση και να εφαρμόζουμε αναβαθμίσεις ασφαλείας εγκαίρως για την προστασία από αυτές τις επιθέσεις. Η προετοιμασία, η εκπαίδευση των χρηστών και η συνεχής παρακολούθηση είναι ζωτικής σημασίας για την πρόληψη και την αντιμετώπιση των επιθέσεων ransomware.

Πηγή: www.bleepingcomputer.com