Ένα ransomware που στοχεύει μια ισραηλινή εταιρεία έχει οδηγήσει τους ερευνητές να παρακολουθήσουν ένα μέρος μιας πληρωμής λύτρων σε έναν ιστότοπο που προωθεί αισθησιακά μασάζ, το .
Δείτε επίσης: Hackers συνδυάζουν ransomware και DDoS επιθέσεις για να στοχεύσουν θύματα
Η επίθεση πραγματοποιήθηκε από μια πιο πρόσφατη επιχείρηση ransomware, γνωστή ως Ever101, η οποία παραβίασε ένα ισραηλινό “computer farm” και προχώρησε στην κρυπτογράφηση των συσκευών της.
Σε μια νέα έκθεση των Ισραηλινών εταιρειών κυβερνοασφάλειας Profero και Security Joes, αναφέρεται ότι το Ever101 πιστεύεται ότι είναι μια παραλλαγή του ransomware Everbe ή Paymen45.
Κατά την κρυπτογράφηση αρχείων, το ransomware θα προσαρτήσει την επέκταση .ever101 και θα εμφανίσει ένα note για λύτρα με το !=READMY=!.txt σε κάθε φάκελο στον υπολογιστή.
Δείτε επίσης: Ερευνητές αναλύουν την «επιχείρηση» του LockBit ransomware
Ενώ ερευνούσαν ένα από τα μολυσμένα μηχανήματα, οι ερευνητές βρήκαν ένα φάκελο «Music» που περιείχε διάφορα εργαλεία που χρησιμοποιήθηκαν κατά τη διάρκεια της επίθεσης, παρέχοντας πληροφορίες για τις τακτικές, τις τεχνικές και τις διαδικασίες του απειλητικού παράγοντα. Ενδιαφέρον είναι ότι ορισμένα από τα αρχεία που μοιράστηκαν οι εισβολείς, όπως το WinRar, εντοπίστηκαν στα Αραβικά.
Ιδιαίτερο ενδιαφέρον παρουσιάζει αυτό που οι ερευνητές ανακάλυψαν αφού χρησιμοποίησαν το CipherTrace για να παρακολουθήσουν την πληρωμή των λύτρων καθώς ρέει μέσω διαφορετικών πορτοφολιών bitcoin.
Εντοπίζοντας την πληρωμή, βρήκαν ότι ένα μικρό μέρος των λύτρων (0,01378880 BTC ή περίπου 590 $), στάλθηκε σε ένα “Tip Jar” στον ιστότοπο RubRatings.
Το RubRatings είναι ένας ιστότοπος που επιτρέπει στους “παρόχους μασάζ” στις ΗΠΑ να διαφημίζουν τις υπηρεσίες τους, πολλοί από αυτούς προσφέρουν αισθησιακό μασάζ.
Κάθε προφίλ μασέρ περιλαμβάνει ένα κουμπί Tip Jar που επιτρέπει στους πελάτες να αφήσουν μια bitcoin tip για το πρόσφατο μασάζ τους.
Δείτε επίσης: Ransomware: Πολλές εταιρείες αν δεχτούν επίθεση θα πληρώσουν τα λύτρα
Οι ερευνητές πιστεύουν ότι μέρος των πληρωμών για τα λύτρα πήγε σε έναν πράκτορα Ever101 στις ΗΠΑ, ο οποίος στη συνέχεια χρησιμοποίησε τα νομίσματα για να δώσει tip σε μια μασέρ, ή πιθανότατα, να χρησιμοποιήσει τον ιστότοπο ως τρόπο ξεπλύματος της πληρωμής των λύτρων.
Καθώς το bitcoin εντοπίζεται εύκολα από την επιβολή του νόμου, οι επιχειρήσεις ransomware αναζητούν νέες προσεγγίσεις για να ξεπλύνουν τα παράνομα κέρδη τους.
Οπότε είναι πιθανό οι απειλητικοί παράγοντες να δημιούργησαν έναν ψεύτικο λογαριασμό στο RubRatings και χρησιμοποίησαν τη λειτουργία Tip Jar ως τρόπο ξεπλύματος των λύτρων.
Πηγή πληροφοριών: bleepingcomputer.com
