Jesteś tutaj:-, Bezpieczeństwo, Inne, Newsy, Opinie ekspertów, Raporty i prezentacje, Rynek-Nowy rok – nowe warianty ransomware

Nowy rok – nowe warianty ransomware

Analitycy z FortiGuard Labs, podmiotu firmy Fortinet zajmującego się badaniem i analizą zagrożeń, nieustannie zbierają dane na temat najpoważniejszych niebezpieczeństw w cyfrowym świecie. Na początku 2023 roku wykryli trzy warianty złośliwego oprogramowania, które dotknęły użytkowników systemów Windows i Linux.

Każda zidentyfikowana odmiana ataku ransomware szyfrowała dane na zainfekowanym urządzeniu i żądała okupu od ofiary w zamian za odszyfrowanie informacji. Poniżej przedstawiono mechanizm działania wykrytych wariantów.

 

Oprogramowanie Monti prowadzi tzw. ścianę wstydu

Monti to stosunkowo nowy wariant ataku ransomware, zaprojektowany do szyfrowania plików w systemach Linux. Pliki zaatakowane przez Monti mają rozszerzenie „.puuuk”. Zespół FortiGuard Labs wykrył także warianty tego złośliwego oprogramowania, które działają na systemach Windows.

 

Grafika 1. Pliki zaszyfrowane przez Monti

Grafika 1. Pliki zaszyfrowane przez Monti

 

Na zainfekowanym urządzeniu Monti zostawia notatkę o konieczności zapłaty okupu zatytułowaną „README.txt”. Ponadto, pokazuje ofierze, ile plików zostało zaszyfrowanych. W przeciwieństwie do typowego ataku ransomware, Monti obsługuje dwie oddzielne strony w sieci TOR: jedną do hostowania danych skradzionych ofiarom i drugą, do negocjowania okupu. W momencie opracowywania tego materiału druga witryna nie była dostępna.

Strona wycieku danych zawiera tzw. ścianę wstydu (Wall of Shame) z założeniem, że pokazywała będzie dane ofiar, które nie zapłaciły okupu. Obecnie ściana jest pusta, ale zawiera prowokacyjną wiadomość, która może wskazywać, że wiele ofiar dotkniętych Monti było „chętnych do współpracy” i zapłaciło okup (z wyjątkiem jednej ofiary w Argentynie).

 

thumbnail 5

Grafika 2. Tzw. ściana wstydu oprogramowania Monti.

 

BlackHunt atakuje także kopie plików

Analitycy FortiGuard Labs zidentyfikowali nowe warianty złośliwego oprogramowania BlackHunt. Dostęp do sieci ofiar uzyskują poprzez niepoprawnie skonfigurowany protokół zdalnego dostępu Remote Desktop Protocol (RDP).

Pliki zaszyfrowane przez ransomware BlackHunt można zidentyfikować za pomocą następującego wzorca nazwy pliku: [unikalny identyfikator przypisany do każdej zagrożonej maszyny].[kontaktowy adres e-mail].Black. BlackHunt usuwa również kopie plików, co znacznie utrudnia ich odzyskanie. Oprogramowanie zostawia na zainfekowanym urządzeniu dwie notatki na temat okupu: jedna nosi tytuł „#BlackHunt_ReadMe.hta”, a druga „#BlackHunt_ReadMe.txt”.

 

Снимок экрана 2023 01 24 в 15.19.34

Grafika 3. Pliki zaszyfrowane przez BlackHunt.

Chociaż obie noty dotyczą ataku BlackHunt, zawierają różne adresy e-mail, za pośrednictwem których ofiara powinna skontaktować się z przestępcami, a także odmienne identyfikatory przypisane do każdej ofiary. Notatka o okupie w formacie HTA zawiera link do strony sieci TOR, która nie była już dostępna w czasie dochodzenia prowadzonego przez FortiGuard Labs.

 

Снимок экрана 2023 01 24 в 15.20.13

Grafika 4. Notatka w formacie HTA, mówiąca o ataku BlackHunt i konieczności zapłacenia okupu.

 

 



Autor |2023-01-24T15:23:43+01:0024 stycznia 2023 16:00|Kategorie: Aplikacje, Bezpieczeństwo, Inne, Newsy, Opinie ekspertów, Raporty i prezentacje, Rynek|0 komentarzy

Zostaw komentarz

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.