Οι ρωσικές αρχές αναγνώρισαν και συνέλαβαν τρία υποτιθέμενα μέλη μιας τοπικής συμμορίας ransomware με το όνομα SugarLocker.

Δείτε επίσης: LockBit ransomware: Αμοιβή $10 εκατ. για πληροφορίες σχετικά με τους αρχηγούς του

Η ομάδα λειτουργεί υπό την επιφάνεια μιας νόμιμης τεχνολογικής εταιρείας με την ονομασία Shtazi-IT, η οποία προσφέρει υπηρεσίες για την ανάπτυξη σελίδων, mobile εφαρμογών και online καταστημάτων, σύμφωνα με έκθεση της F.A.C.C.T., μιας εταιρείας με έδρα τη Ρωσία που εμπλέκεται στη διερεύνηση των δραστηριοτήτων της ομάδας σε συνεργασία με τις αρχές.

H F.A.C.C.T. είναι μέρος της εταιρείας κυβερνοασφάλειας Group-IB, η οποία αποχώρησε από τη ρωσική αγορά πέρυσι και έχει εδραιωθεί πλέον στη Σιγκαπούρη.

Η στιγμή της ανακοίνωσης της σύλληψης είναι “εξαιρετική”, καθώς συνέπεσε με μια μαζική διεθνή επιχείρηση κατά της συμμορίας ransomware Lockbit, δήλωσε ο Dmitry Smilyanets, διευθυντής προϊόντος στη Recorded Future, τη μητρική εταιρεία του The Record.

Ένας άλλος ειδικός σε θέματα ασφάλειας, ο οποίος ζήτησε να μην δημοσιευτεί το όνομά του, λόγω ανησυχιών για την ασφάλεια, υπέδειξε επίσης ότι αυτή η σύλληψη θα μπορούσε να είναι μια προσπάθεια PR από τη Ρωσία. Τα ύποπτα μέλη που συνελήφθησαν ενδέχεται να μην είναι υπό την αυστηρή λειτουργική εποπτεία της κυβέρνησης και πιθανότατα θα συνεχίσουν τις επιχειρήσεις τους, δήλωσε.

Το SugarLocker ransomware χρησιμοποιείται ως ransomware-as-a-service

Σύμφωνα με τη F.A.C.C.T., το SugarLocker ransomware έχει χρησιμοποιηθεί τουλάχιστον από το 2021 ως ransomware-as-a-service. Διαπίστωσαν ότι το SugarLocker λαμβάνει το 30% των κερδών των πελατών του ή το 10% αν υπερβούν τα 5 εκατομμύρια δολάρια.

Η ομάδα κυρίως έχει επιτεθεί στους στόχους της μέσω του Πρωτοκόλλου Απομακρυσμένης Επιφάνειας Εργασίας (RDP), το οποίο επιτρέπει στους χρήστες να έχουν πρόσβαση και έλεγχο ενός υπολογιστή απομακρυσμένα μέσω ενός δικτύου.

Δείτε ακόμα: LockBit ransomware: Οι προγραμματιστές είχαν φτιάξει νέα έκδοση πριν το “χτύπημα” από τις αρχές

Κατά την εκκίνησή του, το SugarLocker ransomware δεσμεύτηκε να μην επιτεθεί σε χώρες της Ανατολικής Ευρώπης, εκτός από τις Βαλτικές χώρες και την Πολωνία. Η ομάδα δε διαθέτει ιστότοπο διαρροής δεδομένων, οπότε δεν είναι σαφές ποιοι είναι τα θύματά της.

Τα ύποπτα μέλη της SugarLocker που συνελήφθησαν, φαίνεται να υποστηρίζουν ότι κινούνται αποκλειστικά από οικονομικά κίνητρα στην υλοποίηση κυβερνοεπιθέσεων.

Το άτομο που ανακοίνωσε την κυκλοφορία του κακόβουλου λογισμικού το 2021 στο φόρουμ darknet με το όνομα RAMP χρησιμοποίησε το όνομα χρήστη “Gustave Dore” – ένα ψευδώνυμο που χρησιμοποιήθηκε επίσης από τον ρώσο πολίτη Aleksandr Ermakov, ο οποίος τιμωρήθηκε από την Αυστραλία, το Ηνωμένο Βασίλειο και τις Ηνωμένες Πολιτείες τον Ιανουάριο για την υποτιθέμενη συμμετοχή του στην επίθεση του 2022 κατά του παρόχου υγειονομικών ασφαλίσεων της Αυστραλίας, Medibank. Πιστεύεται ότι ο Ermakov είναι μέλος της διαβόητης ρωσικής ομάδας κυβερνοεγκληματιών REvil – μία από τις πιο ενεργές συμμορίες ransomware. Πιστεύεται ότι ο Aleksandr Ermakov είναι σίγουρα συνδεδεμένος και με το SugarLocker ransomware.

Κατά τη διάρκεια της έρευνας που πραγματοποίησε η αστυνομία στα διαμερίσματα μελών της ομάδας SugarLocker νωρίτερα τον Ιανουάριο, αναφέρεται ότι βρέθηκαν φορητοί υπολογιστές, κινητά τηλέφωνα, αλληλογραφία και άλλα ψηφιακά στοιχεία που σχετίζονται με παράνομες δραστηριότητες.

Τα μέλη που συνελήφθησαν, ήταν γνωστοί με τα ψευδώνυμα blade_runner, GustaveDore και JimJones.

Οι κατηγορούμενοι έχουν ήδη κατηγορηθεί για τη δημιουργία, χρήση και διανομή κακόβουλων προγραμμάτων υπολογιστών. Σε περίπτωση καταδίκης, θα μπορούσαν να αντιμετωπίσουν έως και τέσσερα χρόνια φυλάκισης. Η έρευνα βρίσκεται σε εξέλιξη, σύμφωνα με τη F.A.C.C.T.

Δείτε επίσης: Η ransomware ομάδα LockBit λέει ότι επιτέθηκε στην Κομητεία Fulton

Πώς μπορούμε να προστατευτούμε από το Ransomware-as-a-Service;

Η πρώτη γραμμή άμυνας ενάντια σε ένα Ransomware-as-a-Service, όπως το SugarLocker ransomware, είναι η ενημέρωση και η εκπαίδευση. Οι χρήστες πρέπει να γνωρίζουν τους κινδύνους του διαδικτύου και να είναι σε θέση να αναγνωρίσουν τα ύποπτα emails και τα αρχεία που μπορεί να περιέχουν ransomware. Η εφαρμογή των ενημερώσεων ασφαλείας και των patches είναι άλλο ένα σημαντικό βήμα. Τα λειτουργικά συστήματα και τα προγράμματα πρέπει να είναι πάντα ενημερωμένα, καθώς οι επιτιθέμενοι συχνά εκμεταλλεύονται τις γνωστές ευπάθειες. Η χρήση ισχυρού λογισμικού antivirus είναι επίσης απαραίτητη. Αυτό πρέπει να είναι σε θέση να αναγνωρίσει και να απομονώσει το ransomware πριν αυτό μπορέσει να προκαλέσει ζημιά. Τέλος, η δημιουργία τακτικών αντιγράφων ασφαλείας των σημαντικών δεδομένων μπορεί να προσφέρει μια τελευταία γραμμή άμυνας.

Πηγή: therecord