ΑρχικήsecuritySunCrypt ransomware: Το νέο μέλος του "Maze ransomware καρτέλ"!

SunCrypt ransomware: Το νέο μέλος του “Maze ransomware καρτέλ”!

Ένα ransomware με την ονομασία “SunCrypt” έχει ενταχθεί στο “καρτέλ του Maze ransomware”, ενώ έχουν αποκαλυφθεί πληροφορίες σχετικά με το πώς συνδέονται και συνεργάζονται αυτές οι δύο ομάδες. Οι χάκερς που βρίσκονται πίσω από το Maze, δημιούργησαν ένα καρτέλ ransomware επιχειρήσεων για να μοιραστούν πληροφορίες και τεχνικές, έχοντας ως στόχο να βοηθήσουν ο ένας τον άλλον να εκβιάσουν τα υποψήφια θύματά τους. Όταν ξεκίνησε αυτό το καρτέλ περιελάμβανε το Maze και το LockBit, αλλά σύντομα διευρύνθηκε ακόμα περισσότερο με τη συμπερίληψη του Ragnar Locker.


Σε ένα email που έστειλαν στο BleepingComputer, οι χειριστές του SunCrypt ransomware ανέφεραν ότι είναι νέο μέλος του καρτέλ του Maze ransomware. Εκτιμάται ότι αυτή η οικογένεια ransomware άρχισε να δραστηριοποιείται τον Οκτώβριο του 2019, χωρίς ωστόσο να είναι πολύ ενεργή. Η ομάδα του SunCrypt ανέφερε επίσης ότι είναι μια ανεξάρτητη επιχείρηση ransomware από το Maze αλλά, ως μέλος του καρτέλ, έχουν αμφίδρομα κανάλια για την μεταξύ τους επικοινωνία.

SunCrypt ransomware


Σε ερώτηση που αφορούσε τον λόγο που τους οδήγησε στην ένταξη σε αυτό το καρτέλ, τα μέλη του SunCrypt ανέφεραν ότι η ομάδα του Maze ransomware χρειαζόταν εξωτερική βοήθεια, καθώς δεν μπορούσε να χειριστεί μόνη της όλο το διαθέσιμο πεδίο επιχείρησης και λειτουργίας. Οι χειριστές του SunCrypt ransomware πρόσθεσαν, ακόμη, πως εξειδικεύονται στις ransomware επιθέσεις. Επιπλέον, αποκάλυψαν πως μοιράζονται τα έσοδα από την επιτυχή επιχείρηση, αλλά δεν παρείχαν περισσότερες λεπτομέρειες σχετικά με τη συνεργασία τους με την ομάδα του Maze. Με βάση τη δήλωσή τους ότι αποφάσισαν να συμμετάσχουν στο καρτέλ επειδή η ομάδα του Maze δεν μπορεί να χειριστεί όλες τις πιθανές επιθέσεις, οι χειριστές του Maze μπορεί να παρέχουν σε μέλη του καρτέλ πρόσβαση σε παραβιασμένα δίκτυα, με αντάλλαγμα το μοίρασμα των κερδών.


Ο GrujaRS ανακάλυψε ένα δείγμα του SunCrypt ransomware, παρέχοντας έτσι μία γεύση σχετικά με τον τρόπο λειτουργίας του. Συγκεκριμένα, το δείγμα του SunCrypt ransomware εγκαθίσταται μέσω ενός PowerShell script, το οποίο φαίνεται πολύ ασαφές.

SunCrypt ransomware λειτουργία

Όταν εκτελείται το ransomware, συνδέεται στη διεύθυνση URL http://91.218.114.31 και μεταφέρει πληροφορίες σχετικά με την επίθεση και το θύμα αυτής. Η χρήση αυτής της διεύθυνσης IP παρέχει μια άλλη ένδειξη σχετικά με το τί υπηρεσίες παρέχουν οι χάκερς του Maze στα μέλη του καρτέλ.


Επιπλέον, εδώ και μήνες, η ομάδα του Maze διαθέτει ένα site διαρροής δεδομένων κι εκτελεί επιθέσεις από γνωστές δημόσιες διευθύνσεις IP. Ωστόσο, σε όλο αυτό το διάστημα, οι υπηρεσίες της ομάδας παραμένουν άθικτες και δεν έχουν κατασταλεί από τις αρχές.


Η διεύθυνση 91.218.114.31 είναι μία από τις διευθύνσεις που χρησιμοποιούν οι χειριστές του Maze ως μέρος της εκστρατείας τους. Επίσης, οι μολύνσεις του Maze μεταφέρουν πληροφορίες σε αυτήν τη διεύθυνση IP κατά τη διάρκεια μιας επίθεσης. Αυτή η κοινόχρηστη διεύθυνση IP μπορεί να σημαίνει δύο πράγματα – είτε ότι οι χειριστές του Maze μοιράζονται την υποδομή τους, είτε ότι “μαρτυρούν” την ransomware τακτική και τεχνολογία τους σε άλλες ομάδες. Ακόμη, αυτή η κατανομή πόρων θα έδινε μία εξήγηση σχετικά με το γιατί θα κέρδιζαν ένα μερίδιο από κάθε πληρωμή λύτρων.


Ειδικότερα, όσον αφορά το SunCrypt ransomware, αυτό διανέμεται ως DLL που, όταν εκτελείται, κρυπτογραφεί τα αρχεία ενός υπολογιστή. Κατά την κρυπτογράφηση αρχείων, προσθέτει έναν δεκαεξαδικό κατακερματισμό στο τέλος του ονόματος κάθε αρχείου. Ωστόσο, δεν είναι γνωστό τί ακριβώς αντιπροσωπεύει αυτός ο κατακερματισμός.

αρχεία


Επιπλέον, σε κάθε φάκελο δημιουργείται μια ειδοποίηση για πληρωμή λύτρων με την ονομασία YOUR_FILES_ARE_ENCRYPTED.HTML, η οποία περιέχει πληροφορίες σχετικά με το τί ακριβώς συνέβη στα αρχεία ενός θύματος, καθώς και ένα link που παραπέμπει στο Tor site πληρωμής. Το Tor link που περιλαμβάνεται σε μια σημείωση λύτρων είναι κωδικοποιημένο στο εκτελέσιμο ransomware. Αυτό σημαίνει ότι κάθε θύμα που έχει κρυπτογραφηθεί από ένα συγκεκριμένο εκτελέσιμο SunCrypt, θα έχει το ίδιο link του Tor site πληρωμής. To Tor site πληρωμής περιέχει ένα chat screen, όπου ένα θύμα μπορεί να διαπραγματευτεί το ποσό των λύτρων με τους χειριστές του SunCrypt. Επιπλέον, κάθε σημείωση λύτρων περιέχει ένα link προς το site διαρροής δεδομένων της ομάδας του SunCrypt, όπου οι χάκερς προειδοποιούν ότι θα κοινοποιήσουν τα δεδομένα που απέσπασαν από ένα θύμα τους.

Suncrypt - Maze ransomware

Αξίζει να σημειωθεί ότι μέχρι στιγμής υπάρχουν πέντε θύματα που αναφέρονται στο site διαρροής δεδομένων της ομάδας του SunCrypt.

ειδοποίηση


Άλλες ransomware ομάδες που έχουν site διαρροής δεδομένων ή έχουν κλέψει μη κρυπτογραφημένα αρχεία για να εκβιάσουν τα θύματά τους είναι οι εξής: CryLock, DoppelPaymer, Maze, MountLocker, Ako, Avaddon, Clop, Conti, Nemty, Nephilim, Netwalker, Pysa / Mespinoza, Ragnar Locker, REvil, Sekhmet, Snatch και Snake.


Τέλος, το SunCrypt διερευνάται κι αναλύεται για τον εντοπισμό τυχόν αδυναμιών, ενώ δεν είναι ακόμη γνωστό εάν είναι δυνατή η δωρεάν ανάκτηση αρχείων.

Pohackontas
Pohackontashttps://www.secnews.gr
Every accomplishment starts with the decision to try.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS