Το Paradise ransomware έκανε την επανεμφάνισή του, με τους εγκληματίες που κρύβονται πίσω από αυτό να δοκιμάζουν νέες τακτικές που θα μπορούσαν να οδηγήσουν σε μια πιο παραγωγική εκστρατεία ransomware. Συγκεκριμένα, αυτή η εκστρατεία ransomware επέστρεψε με νέα μορφή, έχοντας ως στόχο να εξαπατήσει ανυποψίαστους χρήστες και να παραβιάσει το δίκτυό τους με κακόβουλο λογισμικό που κρυπτογραφεί αρχεία. Πρόκειται μάλιστα για μια μορφή επίθεσης που πολλές μηχανές Windows ενδέχεται να μην αναγνωρίσουν ως δυνητικά κακόβουλη.
Η νέα μορφή του Paradise ransomware, που δραστηριοποιείται με πολλές παραλλαγές από το 2017, εξαπλώνεται μέσω μηνυμάτων ηλεκτρονικού phishing και διαφέρει από άλλες εκστρατείες ransomware καθώς χρησιμοποιεί έναν μη συνηθισμένο, αλλά αποτελεσματικό, τύπο αρχείου για να διεισδύσει σε δίκτυα. Επιπλέον, αυτή η εκστρατεία χρησιμοποιεί αρχεία IQY – Internet Query – που είναι αρχεία κειμένου τα οποία διαβάζονται από το Microsoft Excel για λήψη δεδομένων από το διαδίκτυο. Το IQY είναι ένας νόμιμος τύπος αρχείου, οπότε πολλές οργανώσεις πιθανώς να μην τον απορρίψουν.
Ερευνητές που ασχολούνται με την κυβερνοασφάλεια της Lastline αποκάλυψαν μια εκστρατεία που επωφελείται από αυτό για να εξαπλωθεί το Paradise ransomware σε οποιαδήποτε οργάνωση στοχοποιείται.
Επιθέσεις με αρχεία IQY σημειώνονται επειδή πολλά αυτοματοποιημένα συστήματα δεν επεξεργάζονται ή δεν μπορούν να αναλύσουν αυτούς τους τύπους αρχείων. Σύμφωνα με δήλωση του επικεφαλής στον τομέα της ασφάλειας της Lastline, Richard Henderson, στο ZDNet, οι χάκερς αντιλαμβάνονται ότι δεν υπάρχουν ισχυρές άμυνες που θα μπορούσαν να τους σταθούν εμπόδιο σε οποιαδήποτε κακόβουλη δραστηριότητα. Τα αρχικά μηνύματα ηλεκτρονικού phishing έχουν σχεδιαστεί για να φαίνονται εμπορικά και να ενθαρρύνουν τους χρήστες να ανοίγουν ένα συνημμένο IQY. Εάν το υποψήφιο θύμα το κάνει αυτό, το αρχείο IQY συνδέεται με τον server εντολών και ελέγχου που εκτελείται από τους χάκερς, ο οποίος με τη σειρά του θα ρίξει μια εντολή PowerShell που χρησιμοποιείται για την εκτέλεση ransomware σε ένα μηχάνημα ή μία συσκευή. Μόλις τα αρχεία κρυπτογραφηθούν, απαιτείται από το θύμα να καταβάλλει λύτρα με τη μορφή κρυπτονομίσματος, ώστε να μπορέσει να ανακτήσει πρόσβαση στο δίκτυο.
Σε μια προσπάθεια να κατανοήσουν περαιτέρω την επίθεση, οι ερευνητές προσπάθησαν να επικοινωνήσουν με τους κυβερνοεγκληματίες για να διαπραγματευτούν την πρόσβαση σε έναν αποκρυπτογράφο. Όμως, δεν έλαβαν ποτέ απάντηση, γεγονός που αποδεικνύει ότι η τρέχουσα εκστρατεία ίσως απλά προετοιμάζει το έδαφος για μία νέα μορφή του Paradise. Οι χάκερς συχνά αναπτύσσουν κακόβουλα προγράμματα που δεν είναι ολοκληρωμένα σε πρώτη φάση, θέλοντας να δουν πόσο επιτυχημένες είναι οι πρώτες εκδόσεις μιας νέας εκστρατείας και πόσο ανιχνεύσιμο είναι το κακόβουλο λογισμικό από συστήματα ασφαλείας, δήλωσε ο Henderson. Παράλληλα τόνισε ότι όταν οι χάκερς δεν αποκρίνονται, αυτό σημαίνει ότι εξακολουθούν να επεξεργάζονται τυχόν σφάλματα και προσπαθούν να βρουν καλύτερους τρόπους για να κερδίσουν χρήματα.
Ερευνητές στον τομέα της κυβερνοασφάλειας κυκλοφόρησαν ένα δωρεάν εργαλείο αποκρυπτογράφησης για μια προηγούμενη μορφή του Paradise, αλλά φαίνεται ότι αυτοί που βρίσκονται πίσω από τις επιθέσεις βρίσκουν συνεχώς τρόπους να εξελίσσουν τις τακτικές που ακολουθούν. Δεν είναι ακόμα γνωστό τί είδους κυβερνοέγκλημα βρίσκεται πίσω από το Paradise ransomware, ωστόσο οι ερευνητές σημειώνουν ότι το ransomware δεν θα εγκατασταθεί σε ένα μηχάνημα εάν ανιχνεύσει μία ρωσική, καζαχική, λευκορωσική, ουκρανική ή ταταρική γλώσσα ID.
Το Ransomware εξακολουθεί να “χτυπά” οργανισμούς παγκοσμίως, ενώ οι κυβερνοεγκληματίες ζητούν ως αντάλλαγμα λύτρα εκατοντάδων χιλιάδων δολαρίων σε bitcoin σε τακτική βάση.
Ωστόσο, ένας τρόπος με τον οποίο οι οργανισμοί μπορούν να αποφύγουν να ανταποκριθούν στις απαιτήσεις των κυβερνοεγκληματιών, ακόμη και αν πέσουν θύματα ransomware, είναι να ενημερώνουν τακτικά τα αντίγραφα ασφαλείας των συστημάτων τους χωρίς σύνδεση, οπότε ακόμα και αν συμβεί το χειρότερο, να υπάρχουν περιθώρια ανάκαμψης. Οι οργανισμοί μπορούν επίσης να προστατευτούν σε σημαντικό βαθμό από ransomware και άλλες επιθέσεις κακόβουλου λογισμικού εφαρμόζοντας τακτικά τις κατάλληλες ενημερώσεις ασφαλείας, αποφεύγοντας έτσι την πιθανότητα εκμετάλλευσης ευπαθειών του λογισμικού από χάκερς που έχουν ως στόχο την παραβίαση δικτύων.
