ΑρχικήsecurityThunderX ransomware: Άλλαξε ονομασία και λειτουργεί data leak site!

ThunderX ransomware: Άλλαξε ονομασία και λειτουργεί data leak site!

Το ThunderX ransomware άλλαξε την ονομασία του σε «Ranzy Locker» και ξεκίνησε να λειτουργεί την προηγούμενη εβδομάδα το data leak site «Ranzy Leak», στο οποίο ντροπιάζει τα θύματα που αρνούνται να πληρώσουν τα λύτρα που τους απαιτούν οι χειριστές του ransomware.

Το ThunderX είναι μια ransomware επιχείρηση που ξεκίνησε την δραστηριότητά της στα τέλη του περασμένου Αυγούστου. Λίγο μετά την εμφάνισή της στο τοπίο των απειλών, εντοπίστηκαν σφάλματα στο ransomware που επέτρεψαν την κυκλοφορία ενός δωρεάν αποκρυπτογράφου από την Tesorion. Οι χειριστές του ransomware διόρθωσαν γρήγορα τα σφάλματα και κυκλοφόρησαν μια νέα έκδοση του ransomware με την ονομασία «Ranzy Locker».

ThunderX ransomware: Άλλαξε ονομασία και λειτουργεί data leak site!

Παρά το γεγονός ότι οι χάκερς άλλαξαν την ονομασία του ransomware που ανέπτυξαν, οι συμβολοσειρές που σχετίζονται με ένα αρχείο εντοπισμού σφαλμάτων PDB στα εκτελέσιμα ransomware δείχνουν ότι είναι το ίδιο με το ThunderX.

Το MalwareHunterteam ανακάλυψε ένα δείγμα του ransomware που δείχνει ορισμένα στοιχεία σχετικά με τον τρόπο λειτουργίας του ransomware. Όταν ξεκινήσει, το Ranzy Locker καθαρίζει πρώτα το «Shadow Volume Copies», έτσι ώστε τα θύματα να μην μπορούν να το χρησιμοποιήσουν για να ανακτήσουν τα κρυπτογραφημένα αρχεία. Κατά την κρυπτογράφηση αρχείων, το ransomware χρησιμοποιεί ένα Windows API με την ονομασία «Windows Restart Manager», το οποίο τερματίζει τις διαδικασίες ή τις υπηρεσίες των Windows που διατηρούν ένα αρχείο ανοιχτό και εμποδίζει την κρυπτογράφησή του. Για κάθε κρυπτογραφημένο αρχείο, το ransomware προσθέτει τη νέα επέκταση .ranzy στο όνομα του αρχείου. Για παράδειγμα, ένα αρχείο με όνομα 1.doc, κρυπτογραφείται και μετονομάζεται σε 1.doc.ranzy.

ThunderX ransomware: Άλλαξε ονομασία και λειτουργεί data leak site!

Σε κάθε traversed folder, το ransomware δημιουργεί ένα σημείωμα λύτρων με την ονομασία «readme.txt», το οποίο περιέχει πληροφορίες σχετικά με το τί συνέβη στα δεδομένα του εκάστοτε θύματος, μια προειδοποίηση ότι τα δεδομένα του κλάπηκαν καθώς και έναν σύνδεσμο που παραπέμπει το θύμα σε Tor site, όπου μπορεί να διαπραγματευτεί με τους χάκερς που του επιτέθηκαν. Σε προηγούμενες εκδόσεις του ThunderX ransomware, οι χειριστές του επικοινωνούσαν με τα θύματά τους μέσω email αντί να χρησιμοποιήσουν ένα ειδικό Tor site.

Όταν ένα θύμα επισκέπτεται το Tor site πληρωμών, του εμφανίζεται ένα μήνυμα που γράφει «Locked by Ranzy Locker» καθώς και μια live chat οθόνη για να ξεκινήσει τις διαπραγματεύσεις με τους χάκερς. Στα πλαίσια αυτής της «υπηρεσίας», οι χειριστές του ransomware επιτρέπουν στα θύματα να αποκρυπτογραφήσουν τρία αρχεία δωρεάν για να αποδείξουν ότι μπορούν να το κάνουν αυτό.

ThunderX ransomware: Άλλαξε ονομασία και λειτουργεί data leak site!

Όπως αναφέρει το BleepingComputer, πολλές ransomware συμμορίες χρησιμοποιούν μια μέθοδο επίθεσης διπλού εκβιασμού, κατά την οποία κλέβουν μη κρυπτογραφημένα αρχεία από ένα θύμα προτού κρυπτογραφήσουν τις συσκευές που βρίσκονται σε ένα εταιρικό δίκτυο.

Χρησιμοποιώντας αυτή τη μέθοδο επίθεσης, οι χάκερς ωθούν τα θύματά τους να πληρώσουν λύτρα με δύο τρόπους: ισχυρίζονται ότι αν τα θύματα πληρώσουν τα απαιτούμενα λύτρα, α) θα τους επιστραφούν τα αρχεία τους και β) δεν θα διαρρεύσουν τα δεδομένα τους.

Αξιοσημείωτο είναι το γεγονός ότι το Tor onion URL που χρησιμοποιείται από το data leak site «Ranzy Leak» είναι το ίδιο με αυτό που χρησιμοποιούσε προηγουμένως το Ako ransomware. Η χρήση της ίδιας διεύθυνσης URL με το Ako θα μπορούσε να σημαίνει ότι και οι δύο συμμορίες συγχωνεύθηκαν για να σχηματίσουν τον Ranzy Locker, ή ότι συνεργάζονται παρόμοια με το Maze καρτέλ.

Pohackontas
Pohackontashttps://www.secnews.gr
Every accomplishment starts with the decision to try.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS