ΑρχικήsecurityRansomware Hakbit: Στοχεύει εταιρείες σε Γερμανία, Αυστρία και Ελβετία

Ransomware Hakbit: Στοχεύει εταιρείες σε Γερμανία, Αυστρία και Ελβετία

Οι ερευνητές του Proofpoint έχουν εντοπίσει μια εκστρατεία ransomware χαμηλού όγκου μέσω email που στοχεύει οργανισμούς/εταιρείες στην Αυστρία, την Ελβετία και τη Γερμανία. Η καμπάνια αξιοποιεί το Hakbit, μια παραλλαγή του Thanos ransomware ως υπηρεσία (RaaS). Η επίθεση χρησιμοποιεί κακόβουλα συνημμένα Microsoft Excel που παραδίδονται από έναν δωρεάν πάροχο email (GMX) που εξυπηρετεί κυρίως μια ευρωπαϊκή βάση πελατών. Τα συνημμένα περιέχουν ψευδή θέματα χρέωσης και επιστροφής φόρου για να προσελκύσουν τους χρήστες να ενεργοποιήσουν τις μακροεντολές που εκτελούν το GuLoader, το οποίο κατεβάζει το ransomware για να κρυπτογραφήσει αρχεία και να κλειδώσει το σύστημα.

Ransomware

Για να διασφαλιστεί η επιτυχία επειδή οι μακροεντολές του Microsoft Office VBA δεν εκτελούνται σε κινητές συσκευές, αυτά τα email κατευθύνουν τους παραλήπτες να ανοίξουν τα συνημμένα στον υπολογιστή τους και όχι στην κινητή τους συσκευή.

Οι χρήστες που στοχεύθηκαν απασχολούνταν σε θέσεις μεσαίου επιπέδου στον τομέα των φαρμακευτικών, νομικών, χρηματοοικονομικών, επιχειρηματικών υπηρεσιών, λιανικής και υγειονομικής περίθαλψης. Ο μεγαλύτερος όγκος των μηνυμάτων που παρατηρήσαμε στάλθηκαν στους κλάδους της πληροφορικής, των κατασκευαστικών, της ασφάλισης και της τεχνολογίας. Οι ερευνητές του Proofpoint έχουν παρατηρήσει ότι η πλειονότητα των ρόλων που στοχεύουν στις εκστρατείες του Hakbit είναι αντιμέτωπες με τον πελάτη με τα στοιχεία επικοινωνίας των ατόμων που αποκαλύπτονται δημόσια σε ιστότοπους εταιρειών ή / και διαφημίσεις. Στους ρόλους αυτούς περιλαμβάνονται δικηγόροι, σύμβουλοι πελατών, διευθυντές, σύμβουλοι ασφάλισης, διευθύνοντες σύμβουλοι και project managers.

Παρακάτω είναι ένα παράδειγμα των μηνυμάτων που λαμβάνουν οι χρήστες, τα οποία συχνά έχουν τα παρακάτω θέματα “” Fwd: Steuerrückzahlung “(Μετάφραση: Επιστροφή φόρου)” και “Ihre Rechnung (Μετάφραση: Ο λογαριασμός σας)”.

Ransomware
Σχήμα 1

Αυτό το μήνυμα είναι στα γερμανικά και κάνει κατάχρηση του λογότυπου και της επωνυμίας της 1 & 1, μιας γερμανικής εταιρείας τηλεπικοινωνιών. Σύμφωνα με το Google Translate, το μήνυμα αναφέρει:

Ransomware

Το μήνυμα περιέχει ένα συνημμένο Microsoft Excel με το όνομα 379710.xlsm το οποίο αξιοποιεί κακόβουλες μακροεντολές. Επειδή οι μακροεντολές και το κακόβουλο λογισμικό δεν θα λειτουργούν σε κινητή συσκευή, το μήνυμα δίνει εντολή στον παραλήπτη να χρησιμοποιήσει έναν υπολογιστή για να διαβάσει το συνημμένο. Μόλις ανοίξει, το υπολογιστικό φύλλο κατευθύνει τον παραλήπτη στα γερμανικά και στα αγγλικά για να ενεργοποιήσει τις μακροεντολές, όπως φαίνεται στο σχήμα 2.

Ransomware
Σχήμα 2

Μόλις ενεργοποιηθούν οι μακροεντολές στο υπολογιστικό φύλλο, πραγματοποιεί λήψη και εκτέλεση του GuLoader, ενός σχετικά νέου προγράμματος λήψης. Όταν εκτελείται το GuLoader, πραγματοποιεί λήψη και εκτέλεση του Hakbit, ενός ransomware που κρυπτογραφεί αρχεία χρησιμοποιώντας κρυπτογράφηση AES-256.

Παρακάτω είναι η εικόνα που εμφανίζεται όταν το Hakbit τρέχει (Σχήμα 3) και επίσης δείτε και το σημείωμα των λύτρων στα Αγγλικά και στα Γερμανικά (Σχήμα 4).

Σχήμα 3
Σχήμα 4

Το σημείωμα απαιτεί 250 ευρώ σε bitcoin για να ξεκλειδωθούν τα κρυπτογραφημένα αρχεία και παρέχει οδηγίες σχετικά με τον τρόπο πληρωμής των λύτρων.

Συμπέρασμα

Οι ερευνητές του Proofpoint έχουν παρατηρήσει συνεπείς εκστρατείες ransomware χαμηλού όγκου και συχνά από τον Ιανουάριο του 2020. Οι ερευνητές του Proofpoint προσφάτως εντόπισαν μια αλλαγή στο τοπίο απειλών με μια μεγάλη καμπάνια Avaddon ransomware σύμφωνα με τις πρόσφατες αναφορές.

Βέβαια πρέπει να σημειώσουμε ότι κάποιες άλλες εταιρείες ασφαλείας αναφέρουν ότι το ransomware ονομάζεται Thanos οπότε κρατήστε μια επιφύλαξη σχετικά με την ονομασία του.

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS