Ένα ransomware με την ονομασία “ARCrypter” έχει παραβιάσει σημαντικούς οργανισμούς στη Λατινική Αμερική και τώρα επεκτείνει με ταχείς ρυθμούς τις επιθέσεις του σε όλο τον κόσμο.
Τον Αύγουστο, οι κυβερνοεγκληματίες πίσω από αυτό το νέο ransomware, επιτέθηκαν σε κυβερνητική υπηρεσία στη Χιλή στοχεύοντας συστήματα Linux και Windows. Το ransomware προσθέτει την επέκταση “.crypt” σε όλα τα αρχεία που κρυπτογραφούνται κατά τη διάρκεια μιας επίθεσης.
Όπως είχε πει τότε ο Χιλιανός αναλυτής απειλών Germán Fernández, αυτό το ransomware δεν φαινόταν να ταιριάζει με καμία γνωστή οικογένεια ransomware.
Δείτε επίσης: Phishing emails μιμούνται γνωστά brands και στοχεύουν Αμερικανούς
Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα
Αποκαλύφθηκαν τα Cybercab robotaxi και Tesla Robovan
Πώς τα εργαλεία της OpenAI επηρεάζουν τις εκλογές;
Οι ερευνητές της BlackBerry δημοσίευσαν μια έκθεση που ονομάζει το νέο ransomware ARCrypter και το συνδέει με μια δεύτερη επίθεση εναντίον της Colombia National Food and Drug Surveillance Institute (Invima).
Η BlackBerry προειδοποιεί ότι το ARCrypter ransomware, το οποίο στόχευε κυρίως οργανισμούς της Λατινικής Αμερικής, επεκτείνει τώρα τις δραστηριότητές του σε άλλες περιοχές, συμπεριλαμβανομένης της Κίνας και του Καναδά.
Το ARCrypter έχει βρεθεί σε υπολογιστές θυμάτων στη Γερμανία, τις ΗΠΑ και τη Γαλλία, σύμφωνα με το Bleeping Computer.
Ορισμένα αιτήματα λύτρων που έχει δει το BleepingComputer φτάνουν μέχρι και τα 5.000 δολάρια, οπότε το ARCrypter δεν είναι από τα ransomware που ζητούν τεράστια ποσά.
ARCrypter ransomware
Η BlackBerry ανακοίνωσε ότι τα πρώτα δείγματα του ARCrypter εμφανίστηκαν λίγες εβδομάδες πριν από την επίθεση στη Χιλή στις αρχές Αυγούστου 2022.
Ο φορέας της επίθεσης είναι ακόμα άγνωστος, αλλά οι αναλυτές έχουν βρει δύο AnonFiles URL που χρησιμοποιούνται για να αντλήσουν ένα αρχείο “win.zip” που περιέχει το αρχείο “win.exe“.
Το εκτελέσιμο είναι ένα αρχείο dropper που περιέχει BIN και HTML resources. Το HTML διατηρεί ransom note data, ενώ το BIN περιέχει κρυπτογραφημένα δεδομένα που απαιτούν κωδικό πρόσβασης. Εάν δοθεί κωδικός πρόσβασης, το BIN θα δημιουργήσει έναν εντελώς τυχαίο κατάλογο στο μολυσμένο μηχάνημα για να αποθηκεύσει το payload του δεύτερου σταδίου.
Δείτε επίσης: CommonSpirit Health: Η ransomware επίθεση πιθανότατα επηρεάζει εκατομμύρια Αμερικανούς
“Ενώ δεν μπορέσαμε να προσδιορίσουμε το σωστό κλειδί αποκρυπτογράφησης που χρησιμοποιήθηκε για την αποκρυπτογράφηση του BIN resource, πιστεύουμε με υψηλό βαθμό βεβαιότητας ότι το δεύτερο payload είναι το ARCrypter ransomware“, λέει η BlackBerry στην αναφορά.
Το ARCrypter payload φροντίζει να δημιουργήσει persistence προσθέτοντας το ακόλουθο registry key“:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SecurityUpdate”
Στη συνέχεια, το κακόβουλο λογισμικό διαγράφει όλα τα Shadow Volume Copies για να αποτρέψει την εύκολη επαναφορά δεδομένων, τροποποιεί τις ρυθμίσεις δικτύου για να εξασφαλίσει σταθερή συνδεσιμότητα και, στη συνέχεια, κρυπτογραφεί όλα τα αρχεία εκτός από κάποιους τύπους.
Για να αποφευχθεί η αχρηστία του συστήματος, δεν περιλαμβάνονται επίσης αρχεία σε σημαντικά σημεία, όπως οι φάκελοι “Boot” και “Windows”.
Χάρη στην επέκταση ‘.crypt’, μπορείτε να καταλάβετε ποια αρχεία έχουν κρυπτογραφηθεί – θα εμφανιστεί επίσης το μήνυμα ‘ALL YOUR FILES HAS BEEN ENCRYPTED’ στη διαχείριση αρχείων. Αυτό οφείλεται σε τροποποιήσεις στα ακόλουθα Registry keys:
HKCU\Control Panel\International\sShortDate
HKLM\SYSTEM\ControlSet001\Control\CommonGlobUserSettings\Control Panel\International\sShortDate
Παρόλο που οι επιτιθέμενοι λένε ότι κλέβουν και δεδομένα κατά τη διάρκεια των επιθέσεων, δεν έχει εντοπιστεί κάποιο site για τη διαρροή δεδομένων των θυμάτων.
Δείτε επίσης: Ουκρανία: Ρώσοι hackers χρησιμοποιούν το Somnia ransomware
Επί του παρόντος, δεν είναι πολλά γνωστά για τους δημιουργούς του ARCrypter ransomware. Δεν γνωρίζουμε από πού προέρχονται, τι γλώσσα(ες) μιλούν ή αν έχουν οποιουσδήποτε δεσμούς με άλλες ομάδες ransomware.
Το ransomware είναι μια από τις μεγαλύτερες κυβερνοαπειλές και επηρεάζει τόσο τους ιδιώτες όσο και τις επιχειρήσεις. Ωστόσο, υπάρχουν αρκετά πράγματα που μπορείτε να κάνετε για να προστατευτείτε, όπως δημιουργία αντιγράφων ασφαλείας των σημαντικών δεδομένων σας, αποφυγή συνημμένων email και συνδέσμων από άγνωστους αποστολείς και χρήση προγραμμάτων προστασίας από ιούς. Ακολουθώντας αυτές τις απλές συμβουλές, μπορείτε να μειώσετε τον κίνδυνο να πέσετε θύμα ransomware.
Πηγή: www.bleepingcomputer.com