Το Shark Ransomware Project πρόσφατα μετονομάστηκε και μεταφέρθηκε σε ένα νέο domain σε μια προσπάθεια να ξεκινήσει από το μηδέν, με το όνομα Atom – ένα ransomware θυγατρικό πρόγραμμα.
Η αλλαγή έρχεται μετά από μια σειρά από άρθρων που του έδωσαν μια κακή φήμη, που δημοσιεύθηκαν τον περασμένο μήνα, όπου αποκαλέστηκε «scammy-looking».
Όταν εμφανίστηκε, ήταν μοναδικό μεταξύ άλλων RaaS (Ransomware-as-a-Service) προσφορών, διότι χρησιμοποίησε μια ιστοσελίδα που φιλοξενούνταν στο δημόσιο Internet, αντί του Tor, όπως οι περισσότεροι από τους αντιπάλους του.
Το Shark προσέφερε στους χρήστες ένα ransomware builder που τους επέτρεπε να δημιουργήσουν τη δική τους Shark ransomware εκδοχή. Οι απατεώνες θα μπορούσαν να προσαρμόσουν το Shark στις προτιμήσεις τους και στη συνέχεια, να το χρησιμοποιήσουν ως spam ή exploit kit για να μολύνουν τα θύματά τους.
Οι χρήστες που πληρώνουν τα λύτρα θα στείλουν τα χρήματα στο Bitcoin wallet του δημιουργού του Shark, ο οποίος θα διατηρήσει το 20 τοις εκατό και θα διαβιβάζει το υπόλοιπο στο πρόσωπο που μόλυνε το θύμα.
Κατά την πρόσβαση στην ιστοσελίδα του Shark σήμερα, ανα-κατευθυνθήκαμε σε μια νέα ιστοσελίδα που προωθούσε το Atom ransomware θυγατρικό πρόγραμμα.
Σε τελική ανάλυση, όμως, το Atom λειτουργεί σχεδόν με τον ίδιο τρόπο, όπως το Shark. Προσφέρει ένα payload builder και χρησιμοποιεί το ίδιο 80-20 τοις εκατό μερίδιο όπως έκανε και το Shark πριν πέσει.
Η κραυγαλέα αλλαγή είναι ότι το Atom χρησιμοποιεί μια ωραία γραφική διεπαφή χρήστη για την κατασκευή του ransomware. Το Shark προηγουμένως χρησιμοποιούσε έναν terminal-based builder με τους χρήστες να πρέπει να εισάγουν τις ρυθμίσεις παραμετροποίησης μέσω επιλογών της γραμμής εντολών.
Αυτός ο builder δημιουργεί το ransomware payload, το τελικό αρχείο EXE που οι απατεώνες πρέπει να παραδώσουν στα θύματα, αλλά εκτυπώνει και ένα ID της ransomware εκστρατείας.
Οι απατεώνες που αναπτύσσουν το Atom ransomware μπορούν να εισάγουν αυτό το ID στην ιστοσελίδα του Atom και να αποκτήσουν πρόσβαση σε ένα web πάνελ που δείχνει λεπτομέρειες σχετικά με τον αριθμό των μολυσμένων θυμάτων και τον κερδισμένων χρημάτων.
Από ότι φαίνεται, όμως, το ransomware εξακολουθεί να απαιτεί τα θύματα να κάνουν τις Bitcoin ransom πληρωμές στο Bitcoin wallet του δημιουργού του Atom, χωρίς καμία εγγύηση ότι οι Atom συνδρομητές θα λάβουν το μερίδιο των 80 τοις εκατό που τους ανήκει. Σε οποιαδήποτε χρονική στιγμή ο δημιουργός του Atom μπορεί να αλλάξει γνώμη και να τερματίσει τη λειτουργία του, κρατώντας για τον εαυτό του ένα μεγάλο μέρος των κεφαλαίων.
Σε μια έκθεση που δημοσιεύθηκε χθες, η Fortinet έριξε μια ματιά στο πώς λειτουργεί μια τυπική Atom ransomware μόλυνση. Εκεί θα βρείτε τεχνικές λεπτομέρειες σχετικά με τις C&C Server Communications του Atom, που δεν περιλαμβάνονται σε αυτό το άρθρο.
