Ένα νέο στέλεχος του Thanos ransomware προσπαθεί και αποτυγχάνει να παραδώσει το σημείωμα που ζητάει λύτρα σε παραβιασμένα συστήματα αντικαθιστώντας την κύρια εγγραφή εκκίνησης των Windows (MBR) των υπολογιστών.
Η νέα λειτουργική μονάδα Windows Locker έχει ανακαλυφθεί από τους ερευνητές ασφαλείας του Palo Alto Networks, οι οποίοι ανέλυσαν δύο επιθέσεις και παρατήρησαν ότι το Thanos ransomware κρυπτογράφησε με επιτυχία τις συσκευές κρατικών ελεγχόμενων οργανισμών από την Μέση Ανατολή και τη Βόρεια Αφρική στις αρχές Ιουλίου του 2020.
“Η αντικατάσταση του MBR είναι μια πιο καταστροφική προσέγγιση του ransomware από το συνηθισμένο”, δήλωσε ο αναλυτής απειλών της Palo, Robert Falcone. “Τα θύματα θα πρέπει να καταβάλουν περισσότερη προσπάθεια για να ανακτήσουν τα αρχεία τους – ακόμη και αν πληρώσουν τα λύτρα.”
“Ευτυχώς, σε αυτήν την περίπτωση, ο κώδικας που είναι υπεύθυνος για την αντικατάσταση του MBR προκάλεσε ένα πρόβλημα, επειδή το μήνυμα για τα λύτρα περιείχε μη έγκυρους χαρακτήρες, οι οποίοι άφηναν ανέπαφο το MBR και επέτρεπαν στο σύστημα να κάνει σωστή εκκίνηση.”
Παρόμοια συμπεριφορά είχε εκδηλωθεί στο παρελθόν από το ransomware Petya, όταν θεωρήθηκε ότι αντικατέστησε το MBR των μολυσμένων συσκευών για να εμφανίσει ένα σημείωμα λύτρων που δεν έφευγε από την οθόνη – ουσιαστικά κλείδωνε εκεί.
Παρόλο που δεν κατάφεραν να αντικαταστήσουν τα MBR των υπολογιστών που παραβιάστηκαν, οι χειριστές του ransomware Thanos εξακολουθούσαν να εμφανίζουν notes για λύτρα, δημιουργώντας αρχεία text που ονομάζονταν “HOW_TO_DECIPHER_FILES.txt” και ζητούσαν από τα θύματα να πληρώσουν 20.000 $ για να ανακτήσουν τα δεδομένα τους.
Οι ερευνητές πιστεύουν ότι οι εισβολείς απέκτησαν πρόσβαση στα στοχευμένα δίκτυα προτού αναπτυχθούν τα payloads του ransomware, καθώς μπόρεσαν να βρουν έγκυρα credentials στα δείγματα που ανακτήθηκαν μετά την επίθεση.
Οι απειλητικοί παράγοντες χρησιμοποίησαν επίσης μια προσέγγιση βασισμένη σε layers για να παραδώσουν τα playloads, με προσαρμοσμένα scripts PowerShell, ενσωματωμένο κώδικα C# και shellcode που χρησιμοποιούνται για την παράδοση του ransomware είτε τοπικά είτε σε άλλα συστήματα στα δίκτυα των θυμάτων χρησιμοποιώντας τα κλεμμένα credentials που αναφέρονται παραπάνω.
Η Palo δεν έχει πληροφορίες εάν οι κρατικές οργανώσεις από την Μέση Ανατολή και τη Βόρεια Αφρική πλήρωσαν τους επιτιθέμενους για τις «προσπάθειές τους».
Το Thanos ransomware είναι μια λειτουργία Ransomware-as-a-Service (RaaS) που διαφημίζεται σε διάφορα ρωσόφωνα hacking forums από τον Φεβρουάριο του 2020 και επιτρέπει στους “συνεργάτες” να δημιουργήσουν προσαρμοσμένα payloads ransomware με τη βοήθεια ενός κατασκευαστή που παρέχεται από τον προγραμματιστή του ransomware.
Ορισμένα δείγματα του Thanos έχουν προηγουμένως επισημανθεί ως Hakbit ransomware λόγω των διαφορετικών επεκτάσεων κρυπτογράφησης που χρησιμοποιούν οι συνεργάτες του RaaS, αλλά το Recorded Future Insikt Group λέει ότι είναι το ίδιο malware – αφού σύγκρινε την βασική λειτουργικότητα και την ομοιότητα του κώδικα.
Το Thanos είναι επίσης το πρώτο ransomware που χρησιμοποίησε την τεχνική αποφυγής RIPlace μαζί με πολλές άλλες αρκετά προηγμένες λειτουργίες που έχουν σχεδιαστεί για να το μετατρέψουν σε σοβαρή απειλή, καθώς μπορεί να κλέψει αρχεία και ταυτόχρονα να εξαπλωθεί μεταξύ διαφόρων συσκευών Windows χρησιμοποιώντας το πρόγραμμα PSExec σε συνδυασμό με το εργαλείο SharpExec.
Πριν από τρεις μήνες, τον Ιούνιο του 2020, οι θυγατρικές του Thanos απέτυχαν να πείσουν πολλές ευρωπαϊκές εταιρείες από την Αυστρία, την Ελβετία και τη Γερμανία να πληρώσουν τα λύτρα που ζήτησαν αφού κρυπτογράφησαν τα συστήματα τους.
