Το ransomware, αποτελεί ένα από το πιο δημοφιλή είδη επίθεσης, το οποίο συνεχώς αναδιαμορφώνεται. Το 2019 οι κακόβουλοι παράγοντες δημιουργούν μεταξύ τους συμμαχίες για να στοχεύσουν μεγάλα δημόσια και εταιρικά δίκτυα. Πίσω στο 2018, οι hacker πίσω από το GandCrab ransomware ξεκίνησαν το Ransomware-as-a-Service, που μετατοπίζει το πρότυπο και μετατρέπει το ransomware σε μια ολοκληρωμένη επιχείρηση με Branding, μάρκετινγκ και προβολή.
Η ομάδα Truniger
Η ομάδα hacking Truniger, επίσης γνωστή και ως TeamSnatch, δημιουργήθηκε από έναν κακόβουλο παράγοντα, ο οποίος είχε δείξει ιδιαίτερο ενδιαφέρον για απάτες με πιστωτικές κάρτες. Η ομάδα εκμεταλλεύεται τρωτά σημεία που βασίζονται στο RDP και πραγματοποιεί επιθέσεις brute-force για να αποκτήσει πρόσβαση σε διάφορες βάσεις δεδομένων RDP.
Σύμφωνα με την αναφορά της Advintel, η επίθεση αυτή, ήταν ιδιαίτερα αποτελεσματική και έτσι η ομάδα hacking άρχισε να αναζητά νέους τρόπους να κερδίσει χρήματα από τις παραβιάσεις που πραγματοποιούσε.
Έτσι η ομάδα Truniger κατόρθωσε να κρυπτογραφήσει περισσότερες από 1.800 συσκευές χρησιμοποιώντας το GandCrab μέχρι τα τέλη Αυγούστου 2018. Ο hacker πίσω από τη δημιουργία της ομάδας, δήλωσε ότι με τη συμμετοχή του στο πρόγραμμα θυγατρικών του GandCrab, έμαθε τις μεθόδους για την πραγματοποίηση εξελιγμένων επιθέσεων.
Στη συνέχεια, ο hacker αποφάσισε να δημιουργήσει το δικό του Ransomware και να επεκτείνει περεταίρω την ομάδα, προσλαμβάνοντας τεχνικούς για να τον βοηθήσουν με την επιχείρησή του, προσφέροντάς τους αμοιβές έως και 10.000 USD το μήνα.
Εργαλεία και τεχνικές που χρησιμοποιούνται
Η ομάδα hacking χρησιμοποιεί πολλές τεχνικές για να διαμοιράσει ransomware, με πιο διαδεδομένη την RDP brute-forcing.
Η Truniger προσπαθεί να αποκτήσει δικαιώματα διαχειριστή συστήματος των Windows, χρησιμοποιώντας το εργαλείο mimikatz για να αναζητήσει τα διαπιστευτήρια διαχειριστή τομέα, τα οικονομικά στοιχεία και να πραγματοποιήσει privilege escalation.
Η ομάδα δήλωσε στην AdvIntel ότι επικεντρώνεται σε αποκλειστικούς server με RDP και ενδιαφέρεται για Dynamic Data Exchange (DDE).
Μία από τις πιο γνωστές επιθέσεις της οργάνωσης είναι αυτή που έγινε στη γερμανική εταιρεία πληροφορικής CityComp και έλαβε δεδομένα από εταιρείες όπως η Oracle, η SAP, η BT, η Porsche, η Toshiba, η Volkswagen, η Airbus και άλλες.
Η ομάδα έκανε επίσης γνωστή την πρόσβασή της σε διάφορα άλλα δίκτυα RDP που συνδέονται με κυβερνητικά δίκτυα και καταστήματα λιανικής πώλησης.
