Το Thanos ransomware είναι το πρώτο που χρησιμοποίησε μια τεχνική αποφυγής RIPlace που έχει αποκαλυφθεί από τους ερευνητές, καθώς και πολλές άλλες προηγμένες δυνατότητες που το καθιστούν σοβαρή απειλή.
Το Thanos ξεκίνησε για πρώτη φορά την ιδιωτική διανομή στα τέλη Οκτωβρίου 2019, αλλά μόλις τον Ιανουάριο του 2020 τα θύματα ζήτησαν βοήθεια για αυτό που ονομάστηκε ως Quimera Ransomware.
Με την πάροδο του χρόνου, τα θύματα συνέχισαν να αναζητούν βοήθεια στα φόρουμ του BleepingComputer για το ίδιο ransomware, αλλά τώρα ταυτοποιήθηκε ως Hakbit.
Σε ένα νέο report από το Recorded Future, μαθαίνουμε ότι αυτό το ransomware ονομάζεται Thanos και προωθείται ως υπηρεσία Ransomware-as-a-Service σε ρωσόφωνα hacking forum από τον Φεβρουάριο.
Mark Zuckerberg: Ο δεύτερος πλουσιότερος άνθρωπος
Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό
Mark Zuckerberg: Έγινε ο δεύτερος πλουσιότερος άνθρωπος! 💰💰
Προωθείται από μια ομάδα που ονομάζεται Nosophorus και ζητά από τους hackers να διανείμουν το ransomware. Αν το πράξουν, θα λάβουν μερίδιο εσόδων από τα λύτρα, το οποίο είναι συνήθως περίπου 60-70%.
Οι συνεργάτες που συμμετέχουν στο Thanos RaaS αποκτούν πρόσβαση σε ένα “Private Ransomware Builder” που χρησιμοποιείται για τη δημιουργία προσαρμοσμένων εκτελέσιμων ransomware.
Ενώ τα περισσότερα ransomware που γράφονται στο C # δεν έχουν υψηλό επίπεδο πολυπλοκότητας, το Thanos έχει πολλές προηγμένες δυνατότητες που το κάνουν να ξεχωρίζει από τα υπόλοιπα.
Όπως μπορείτε να δείτε παραπάνω, το πρόγραμμα δημιουργίας επιτρέπει ένα ευρύ φάσμα δυνατοτήτων, όπως ένα ενσωματωμένο κρυπτογραφημένο αρχείο, αυτόματη εξάπλωση σε άλλες συσκευές και την υιοθέτηση της τεχνικής αποφυγής RIPlace που αποκαλύπτεται από τον ερευνητή.
Πρώτα χρησιμοποιήστε την αποφυγή RIPlace anti-ransomware
Τον Νοέμβριο του 2019, το BleepingComputer ανέφερε μια νέα τεχνική αποφυγής anti-ransomware που ονομάζεται RIPlace, η οποία αποκαλύφθηκε από τους ερευνητές ασφαλείας της Nyotron.
Η Nyotron ανακάλυψε ότι όταν το ransomware μετονομάζει ένα αρχείο σε symlink που δημιουργήθηκε χρησιμοποιώντας τη λειτουργία DefineDosDevice () – το anti-ransomware software δεν θα ανιχνεύσει με ακρίβεια τη λειτουργία.
Αντ ‘αυτού, οι λειτουργίες παρακολούθησης θα λάβουν ένα σφάλμα, ενώ η μετονομασία θα εξακολουθεί να λειτουργεί, και έτσι θα παρακάμψει το πρόγραμμα anti-ransomware.
Το Thanos είναι το πρώτο ransomware που υιοθέτησε την τεχνική RIPlace, όπως φαίνεται από τον παρακάτω κώδικα.
Όταν η Nyotron αποκάλυψε υπεύθυνα αυτήν την τεχνική σε εταιρείες ασφαλείας, τους είπαν οι περισσότεροι ότι επειδή ήταν θεωρητική τεχνική και δεν χρησιμοποιείται, δεν θα αντιμετωπιστεί.
Από τις εταιρείες που το είπαν, μόνο οι Kaspersky και Carbon Black τροποποίησαν το software τους για να αποτρέψουν αυτήν την τεχνική.