Μια εκστρατεία του Thanos ransomware που στοχεύει υπάλληλους μεσαίου επιπέδου σε εταιρείες στην Αυστρία, την Ελβετία και τη Γερμανία αντιμετώπισε την άρνηση των θυμάτων να πληρώσουν τα λύτρα που απαιτούσαν οι hackers για να αποκρυπτογραφήσουν τα δεδομένα τους.
Το Thanos ransomware είναι μια λειτουργία Ransomware-as-a-Service (RaaS) που διαφημίζεται σε ρωσόφωνα hacking που επιτρέπει στις θυγατρικές να προσαρμόσουν το δικό τους ransomware μέσω ενός builder που προσφέρεται από τον προγραμματιστή.
Ορισμένα δείγματα του Thanos ransomware είχαν προηγουμένως επισημανθεί ως στέλεχος του ransomware που ονομαζόταν Hakbit – το Insikt Group λέει ότι είναι το ίδιο malware.
“Με βάση την ομοιότητα του κώδικα, την επαναχρησιμοποίηση των string και τη βασική λειτουργικότητα, το Insikt Group εκτιμά ότι τα δείγματα ransomware που αναφέρονται ως Hakbit κατασκευάζονται χρησιμοποιώντας το Thanos ransomware που αναπτύχθηκε από τη Nosophoros”, δήλωσε το Insikt Group στις αρχές Ιουνίου.
Το GuLoader χρησιμοποιούσε τα Thanos payloads
Οι επιθέσεις ξεκίνησαν με μια phishing καμπάνια χαμηλού όγκου που διέδιδε κακόβουλα συνημμένα Microsoft Excel που αποστέλλονταν από λογαριασμούς email που είναι εγγεγραμμένοι στους servers του δωρεάν παρόχου email GMX, αναφέρει η Proofpoint που εντόπισε αυτές τις επιθέσεις.
Η phishing καμπάνια επικεντρώθηκε σε υπαλλήλους που απευθύνονται σε πελάτες με δημόσια στοιχεία επικοινωνίας των επιχειρήσεων, όπως συμβούλους πελατών, δικηγόρους, σύμβουλους ασφάλισης, managers και project managers.
“Οι χρήστες που στοχεύθηκαν απασχολούνταν σε θέσεις μεσαίου επιπέδου στον φαρμακευτικό τομέα, στον νομικό τομέα, στον χρηματοοικονομικό τομέα, στον επιχειρηματικό τομέα, στο λιανικό εμπόριο και στον τομέα της υγειονομικής περίθαλψης”, ανέφερε η Proofpoint.
“Ο μεγαλύτερος όγκος των μηνυμάτων που παρατηρήσαμε στάλθηκαν στους κλάδους της πληροφορικής, τον κατασκευαστικό τομέα, της ασφάλισης και της τεχνολογίας.”
Τα phishing email παρέδωσαν συνημμένα που ήταν τιμολόγια και έγγραφα επιστροφής φόρου, τα οποία έκαναν λήψη του malware GuLoader (γνωστό και ως CloudEyE και vbdropper).
Για να βεβαιωθούν ότι τα κακόβουλα συνημμένα ανοίγουν σε μια συσκευή που τα ransomware payloads μπορούν να κρυπτογραφήσουν, οι εισβολείς δίνουν εντολή στους στόχους να κατεβάσουν τα συνημμένα στους υπολογιστές τους.
“Λάβετε υπόψη ότι για τεχνικούς λόγους το έγγραφο του Excel δεν εμφανίζεται σωστά σε κινητές συσκευές”, αναφέρουν τα email. “Σας ζητάμε να κατεβάσετε το τιμολόγιο στον υπολογιστή σας και να το ανοίξετε.”
Μόλις το πρόγραμμα κατέβει στους υπολογιστές των θυμάτων, γίνεται εκκίνηση ενός payload του Thanos ransomware που συνοδεύεται από ενσωματωμένη κλοπή αρχείων και αυτόματη εξάπλωση.
Το Recorded Future είπε νωρίτερα αυτό το μήνα ότι τα έγγραφα που κλέβει το Thanos ransomware από προεπιλογή είναι «.docx», «.xlsx», «.pdf» και «.csv».
Το Thanos χρησιμοποιεί το πρόγραμμα PSExec για να κατεβάσει το ransomware που μπορεί να εκτελεστεί σε υπολογιστές που θα κρυπτογραφηθούν χρησιμοποιώντας κρυπτογράφηση AES-256.
Τα θύματα αρνούνται να παραδοθούν στα αιτήματα του ransomware Thanos
Μετά την κρυπτογράφηση, το ransοmware προειδοποίησε τις εταιρείες/θύματα στην Ευρώπη ότι δέχτηκαν εισβολή και τους ενημέρωσαν μέσω ενός σημειώματος ότι πρέπει να πληρώσουν bitcoin αξίας 250 ευρώ.
Δυστυχώς, για τους χειριστές του ransomware Thanos, οι γερμανικές, αυστριακές και ελβετικές εταιρείες απέρριψαν τα αιτήματά τους για λύτρα.
“Από τις 16 Ιουνίου 2020, οι ερευνητές μας δεν βρήκαν συναλλαγές που να δείχνουν την πληρωμή των λύτρων σε bitcoin” που χρησιμοποιείται ως μέρος της εκστρατείας που παρακολουθείται από την ομάδα έρευνας της Proofpoint.
