Ransomvérová skupina SunCrypt prednedávnom otestovala novú taktiku vydierania svojich obetí. Okrem zašifrovania dát ich vystavuje DDoS útoku, ktorého účelom je donútiť svoje obete vyjednávať. Informoval o tom BleepingComputer.
Hearing that at least one of the big ransomware groups started using DDoS "when things aren't moving as they want". So, the victim companies now have to face:
— MalwareHunterTeam (@malwrhunterteam) September 29, 2020
- some GBs to 100 GBs of files stolen (to be leaked)
- all accessible PCs/servers encrypted
- website down
Great...
Hrozba budúcnosti?
Tento hybridný typ útoku prebieha obvykle v dvoch formách. V prvom prípade záškodníci zahájením DDoS hrozia v prípade nezaplatenia výkupného v Bitcoinoch a k jeho uskutočneniu dochádza až v momente zlyhania vyjednávaní.
Útok však môže slúžiť aj ako dymová clona pre infikovanie zariadenia ransomvérom, pričom páchatelia následne požadujú za ich opätovné sprístupnenie výkupné.
„Váš web je momentálne nefunkčný v dôsledku šikovnosti našej techniky. Čo najskôr nám pošlite správu alebo budú podniknuté ďalšie kroky,“ dočíta sa obeť SunCryptu.
Zdroj: BleepingComputer
Okrem toho nič originálne
Na šírenie samotného malvéru autori zneužívajú protokol DLL. Po spustení obfuskovaného skriptu plného „if-else“ konštrukcií v PoweShelli sa zariadenie pripojí k IP adrese na URL http://91.218.114[.]31 a začne do siete vysielať svoje dáta.
Zdroj: Acronis
Po zašifrovaní je na koniec názvu každého súboru pripojený hexadecimálny hash. Pribudne k nim aj odkaz na webstránku, ktorá obete informuje o ich nešťastí a navrhuje postup, ktorý majú zvoliť, aby došlo k odšifrovaniu ich súborov.
Útočníci inštrukcie formulovali vo viacerých svetových jazykoch, čo značí, že SunCrypt nie je nijak špecificky geograficky zameraný a svoje pôsobenie plánuje rozšíriť.
Známa firma
Medzi nedávne útoky skupiny SunCrypt patrilo napríklad septembrové napadnutie školských systémov v americkom štáte Severná Karolína. Záškodníci po neúspešnom vyjednávaní zverejnenili 5 GB odcudzených dát.
V rovnakom mesiaci ransomvér napadol aj univerzitnú nemocnicu v New Jersey, kde útočníci zašifrovali približne 240 GB dát a zverejnili 1,7 GB dát (asi 48 tisíc dokumentov).
Zdroj: BleepingComputer
Falošné obavy
Kyberbezpečnostnej komunite narobili vrásky na čele aj informácie o uzatvorení spojenectva skupiny SunCrypt s kartelom Maze, ktorého súčasťou je napríklad LockBit či Ragnar Locker. Zapojené skupiny zdieľajú nielen techniky, ale aj informácie o svojich obetiach.
Práve skupina Maze je považovaná za priekopníka trendu tzv. dvojitého ransomvéru – vydierania obetí nielen šifrovaním, ale aj kradnutím dát, za ktorých nezverejnenie je požadované výkupné.
Podľa portálu BleepingComputer však operátori Maze akékoľvek prepojenia so skupinou SunCrypt popreli.
Jana Tuhrinová