Πρόσφατα, ερευνητές ασφαλείας της Cyble διερεύνησαν μια επίθεση που υπέστη στις 30 Μαΐου 2021, η Nucleus Software, μια εταιρεία πληροφορικής με έδρα την Ινδία που δραστηριοποιείται στον τομέα των τραπεζικών και χρηματοοικονομικών υπηρεσιών. Η εταιρεία ανέφερε την παραβίαση ασφαλείας στο Χρηματιστήριο της Βομβάης (BSE) και στο Εθνικό Χρηματιστήριο της Ινδίας (NSEI). Η Nucleus Software δήλωσε ότι δεν αποθηκεύει οικονομικά δεδομένα πελατών.
Οι ερευνητές της Cyble ανακάλυψαν ότι η εταιρεία έπεσε θύμα της συμμορίας του BlackCocaine ransomware.
Διαβάστε επίσης: Λευκός Οίκος: Καλεί τις επιχειρήσεις να πάρουν σοβαρά τις ransomware επιθέσεις
Όπως και άλλες ransomware συμμορίες, η εν λόγω ransomware συμμορία που βρίσκεται πίσω από αυτήν την απειλή, διαχειρίζεται το δικό της site (hxxp: // blackcocaine [.] Top) που καταχωρήθηκε πρόσφατα για την έναρξη των δραστηριοτήτων της συμμορίας.
Η Cyble αναφέρει σε σχετικό blog post τα ακόλουθα: «Με βάση την ανάλυση, η ερευνητική ομάδα της Cyble διαπίστωσε ότι η Nucleus Software είναι το πρώτο θύμα της συμμορίας του BlackCocaine ransomware. Οι πληροφορίες WHOIS για το domain αποκαλύπτουν ότι το domain του BlackCocaine ransomware καταχωρήθηκε στις 28 Μαΐου 2021».
Επιπλέον, οι ερευνητές επεσήμαναν ότι ένα αρχείο με το όνομα a.BlackCocaine υποβλήθηκε πρόσφατα σε διαφορετικά δημόσια sandboxes.
Δείτε ακόμη: Η υπηρεσία υγείας της Ιρλανδίας αντιμετωπίζει ακόμα προβλήματα μετά το ransomware
Το ransomware εκτελεί απαρίθμηση αρχείων συστήματος, ενώ κρυπτογραφεί τα αρχεία των θυμάτων, και στη συνέχεια προσαρτά την επέκταση “.BlackCocaine” στα ονόματα των κρυπτογραφημένων αρχείων. Οι ερευνητές πρόσθεσαν ακόμη ότι το ransomware χρησιμοποιεί τις μεθόδους κρυπτογράφησης AES και RSA.
Μόλις κρυπτογραφηθεί ένα αρχείο, το ransomware «ρίχνει» σημειώματα λύτρων με το όνομα αρχείου “HOW_TO_RECOVER_FILES.BlackCocaine.txt” στη συσκευή του θύματος.
Το BlackCocaine ransomware είναι γραμμένο στη γλώσσα προγραμματισμού Go κι έχει συνταχθεί με το εργαλείο MinGW. Το αρχείο του payload είναι ένα εκτελέσιμο UPX-packed 64-bit Windows αρχείο. Το ransomware payload συντάχθηκε στις 29 Μαΐου 2021, ενώ εφαρμόζει πολλές τεχνικές anti-VM και anti-debugging.
Πρόταση: Sophos: Ανακάλυψε νέο ransomware που στοχεύει Windows
Θα πρέπει ωστόσο να σημειώσουμε ότι οι ειδικοί δεν έχουν προσδιορίσει ακόμη τον αρχικό φορέα μόλυνσης του BlackCocaine.
Η έκθεσή των ερευνητών αναφέρει τα εξής: «Το BlackCocaine είναι η τελευταία προσθήκη στο group του ransomware και φαίνεται να είναι ένα από τα πιο εξελιγμένα και ενεργά στελέχη malware. Αυτή η οικογένεια ransomware ακολουθεί το ίδιο μοντέλο server-side κρυπτογράφησης για να κλειδώσει έγγραφα χρήστη και να ζητήσει λύτρα.»
Πηγή πληροφοριών: securityaffairs.co
