Ransomware-aktører bruker WinRar for kryptering

I år, nesten i slutten av oktober, dukket det opp en ny løsepengevaregruppe med en ganske uvanlig krypteringsteknikk. "Memento Team" i stedet for å kryptere selve filene kopierer dem til passordbeskyttede arkiver ved å bruke en omtittel freeware-versjon av det legitime filverktøyet WinRAR. Da låser gjengen arkivet med passord og sletter originalfiler. I løsepengenotatet ber kriminelle ofre om å kontakte dem via en Telegram-konto. Teamet av cybersikkerhetsanalytikere ga en beskrivelse av noen av kundens erfaringer med den nye løsepengevaren.

WinRaR ble det nye løsepengevareverktøyet

"Endringene til løsepengevaren endret oppførselen for å unngå oppdagelse av krypteringsaktivitet. I stedet for å kryptere filer, "krypt"-koden legger nå filene i ukryptert form i WinRaR-arkivfiler, ved å bruke kopien av WinRAR, lagre hver fil i sitt eget arkiv med filtypen .vaultz. Passord ble generert for hver fil etter hvert som den ble arkivert. Da ble selve passordene kryptert,” – Rapport fra SophosNews.

Ordlyden og formateringen av gruppens løsepenge-notat ligner på REvil-ransomware-gjengen. I tillegg, den truer med å lekke dataene hvis betalinger ikke foretas. Men i motsetning til REvil ble betalinger bedt om å gjøres i Bitcoin. Gjengen krevde 15.95 BTC (omtrent $1 millioner amerikanske). Det er summen for alle filer, og de tilbød også varierende prispriser for ulike typer filer, hver for seg. Den nøyaktige bruken av WinRar-arkiver med passord er veldig lik gamle vitser fra ’00S. Da var det bare spøk, men nå er dette virkelige nettangrep.

Ransomware-aktører bruker WinRar for kryptering
Et eksempel på løsepengevarenotater

Etter nesten seks måneder i hemmelighet å ha undersøkt ofrene’ nettverksgjengen begynte sitt angrep. Uheldigvis for dem, offeret startet ikke forhandlingsprosessen. Målrettede organisasjoner tok tidligere sikkerhetskopier av de krypterte filene og kunne komme tilbake til ganske normalt arbeid til tross for angrepet. Generelt, 2021 år så en betydelig økning i løsepengevare-angrep og krevde betalinger. Nedenfor gir vi deg et kort utdrag av de vanligste trendene for dette året i dette spesielle kriminelle økosystemet.

ransomware 2021 års fakta

Dette er bare korte setninger, men de bør gi deg hovedpoengene i feltet. Ransomware begynte å spre seg til mobiltelefoner takket være mobilens generelle mer åpenhet for skadelig programvare. De fleste av dem dekker nettleseren eller en app med løsepengene som gjør enheten ubrukelig. På grunn av pandemien, de fleste gjenger for løsepenger projiserte sine interesser til sårbare bransjer som kommunale anlegg, skoler og ansatte på fjernarbeid. RaaS eller Ransomware-as-a-service utviklet seg til å bli en ganske effektiv arbeidsbedrift. Det lar løsepengegjenger bruke allerede utviklede løsepengevareverktøy. Den desentraliserte naturen til hele økonomien gjør det vanskelig for rettshåndhevelsesbyråene å lykkes med å målrette dem.

Ransomware utvikler seg i taktikk og arbeidsmetoder med flere nye ganske effektive ransomware-stammer som har skapt overskrifter. Om noen av dem har du sikkert hørt om. Conti, utskjelte, Mørk side og Netwalker endrer oppførselen deres slik at de nye deteksjonsmetodene må brukes for å fortsette kampen med dem på samme nivå. Og det utgjør noen prosent av suksessen for de oppgraderte stammene av løsepengevare, siden det ikke kunne finnes hjelpeverktøy akkurat i det øyeblikket.

Om Andy

Cybersikkerhetsjournalist fra Montreal, Canada. Studerte kommunikasjonsvitenskap ved Universite de Montreal. Jeg var ikke sikker på om en journalistjobb er det jeg vil gjøre i livet mitt, men i forbindelse med tekniske vitenskaper, det er akkurat det jeg liker å gjøre. Min jobb er å fange opp de nyeste trendene i cybersikkerhetsverdenen og hjelpe folk til å håndtere skadelig programvare de har på PC-ene sine.

Sjekk også

Angripere bruker vanligvis ikke brut-force lange passord

Angripere bruker vanligvis ikke brute-force lange passord

Microsofts nettverk av honeypot-serverdata viste at svært få angrep var rettet mot lange og komplekse …

Nok en Windows null-dag gir administratorrettigheter

Nok en Windows null-dag gir administratorrettigheter

Forsker Abdelhamid Naceri, som ofte rapporterer om Windows-feil denne gangen, droppet et fungerende proof-of-concept …

Legg igjen et svar