Ερευνητές ασφαλείας της Intezer παρατήρησαν ότι δύο διαφορετικές μορφές ransomware που χρησιμοποιούν διαφορετικές μεθόδους και στοχεύουν διαφορετικά λειτουργικά συστήματα, ξεκίνησαν πιθανότατα από ένα ransomware. Στην πορεία, οι χειριστές του μάλλον διέκοψαν τη συνεργασία τους και έτσι προέκυψαν δύο διαφορετικές μορφές. Αυτό δείχνει πώς το ransomware εξελίσσεται συνεχώς και πώς οι νέες απειλές συνεχίζουν να αποτελούν κίνδυνο για τα πιθανά θύματα.
Οι ερευνητές ανέλυσαν τα QNAPCrypt και SunCrypt και κατέληξαν στο συμπέρασμα ότι το ένα εξελίχθηκε από το άλλο.
Το QNAPCrypt εμφανίστηκε για πρώτη φορά στα μέσα του 2019 και στοχεύει κυρίως NAS συσκευές με Linux. Από την άλλη, το SunCrypt ransomware εμφανίστηκε τον Οκτώβριο του 2019 και στοχεύει συστήματα Windows, αλλά έγινε πιο δημοφιλές στα μέσα του 2020, μετά από μια ενημέρωση που έλαβε.
Με την πρώτη ματιά, το QNAPCrypt και το SunCrypt φαίνεται να μην έχουν καμιά σχέση μεταξύ τους. Είναι δύο διαφορετικές μορφές ransomware, που διανέμονται από δύο διαφορετικές ομάδες και στοχεύουν διαφορετικά λειτουργικά συστήματα.
Πρόκειται ουσιαστικά για ransomware-as-a-service επιχειρήσεις που εκτελούνται με διαφορετικούς τρόπους. Μάλιστα, ο χειριστής του QNAPCrypt σπάνια κάνει δημοσιεύσεις για το ransomware σε underground forums.
Από την άλλη μεριά, οι χειριστές του SunCrypt διαφημίζουν πολύ το προϊόν τους, ενώ χρησιμοποιούν και την τεχνική διπλού εκβιασμού, απειλώντας να διαρρεύσουν κλεμμένα δεδομένα θυμάτων που δεν πληρώνουν τα λύτρα.
Ωστόσο, μια ανάλυση από τους ερευνητές, έδειξε ότι το QNAPCrypt και η πρώιμη έκδοση του SunCrypt χρησιμοποιούν παρόμοια λογική σχετικά με τον κώδικα για την κρυπτογράφηση αρχείων. Αυτό οδήγησε τους ερευνητές στο συμπέρασμα ότι και τα δύο προήλθαν από τον ίδιο source code.
Οι ερευνητές εντόπισαν, επίσης, ομοιότητες στη δημιουργία κλειδιών και στον τρόπο ανάπτυξης του κώδικα για τον έλεγχο της γεωγραφικής τοποθεσίας των θυμάτων. Τόσο το QNAPCrypt όσο και το SunCrypt διακόπτουν τη διαδικασία κρυπτογράφησης σε συστήματα στη Λευκορωσία, τη Ρωσία και την Ουκρανία (το SunCrypt σταματά και σε μηχανήματα στο Κιργιζιστάν και τη Συρία).
Σύμφωνα με τους ερευνητές, το SunCrypt ransomware έχει εξελιχθεί από τότε που κυκλοφόρησε και έχει κάποια πιο ιδιαίτερα στοιχεία, αλλά η ανάλυση του παλαιότερου κώδικα καθιστά σαφές ότι οι δύο μορφές ransomware ξεκίνησαν μαζί. Το πώς κατέληξε σε δύο διαφορετικές παραλλαγές παραμένει μυστήριο.
“Οι χειριστές μπορεί να είχαν συνεργαστεί για την αρχική έκδοση του SunCrypt και η συνεργασία ίσως διαλύθηκε και πήραν διαφορετικούς δρόμους. Μια άλλη θεωρία είναι ότι ο χειριστής του QNAPCrypt προσλήφθηκε για να δημιουργήσει το αρχικό ransomware για να ξεκινήσει η πρώτη έκδοση της υπηρεσίας“, είπε ο Joakim Kennedy, ερευνητής ασφαλείας της Intezer.
Αυτό που μας διδάσκει η ανακάλυψη των δύο διαφορετικών μορφών ενός ransomware είναι, ότι το ransomware ως απειλή εξελίσσεται συνεχώς. Μπορούν να δημιουργηθούν πολλές διαφορετικές μορφές και παραλλαγές από το ίδιο malware και να δρουν με εντελώς διαφορετικό τρόπο και από διαφορετικές hacking ομάδες.
Τόσο το QNAPCrypt όσο και το SunCrypt ransomware παραμένουν ενεργά το 2021, με το QNAPCrypt να στοχεύει συστήματα που δεν είναι ενημερωμένα και τα οποία έχουν αδύναμους κωδικούς πρόσβασης. Η εφαρμογή των κατάλληλων ενημερώσεων και η εφαρμογή ισχυρών passwords και ελέγχου ταυτότητας πολλών παραγόντων μπορούν να βοηθήσουν σημαντικά στην προστασία των θυμάτων.
Πηγή: ZDNet