Η ζωή είναι δύσκολη όταν είσαι ένας αρχάριος στην αγορά ransomware, και η προσφάτως εμφανισθείσα ομάδα Ransomed φαίνεται να το έχει μάθει με δύσκολο τρόπο. Ωστόσο, μαθαίνει πολύ γρήγορα και έχει αρχίσει να εκμεταλλεύεται μια εντελώς νέα τακτική για να εκβιάζει τα θύματά της.
Δείτε επίσης: DreamBus malware: Εκμεταλλεύεται μια ευπάθεια του RocketMQ για να μολύνει servers
Η ομάδα Ransomed αρχικά ξεκίνησε ως ένα φόρουμ – RansomForums – στις 15 Αυγούστου 2023, σύμφωνα με έρευνες της Flashpoint. Καταχώρησε το domain της και ξεκίνησε να διαφημίζεται στο Telegram, ξεκινώντας παράλληλα και το δικό της κανάλι στο Telegram.
Ωστόσο, μέσα σε λίγες ημέρες ο ιστότοπος δέχθηκε μια επίθεση DDoS – πιθανότατα από άλλη ομάδα ransomware. Τότε οι δράστες μετέβησαν σε ένα πιο παραδοσιακό μοτίβο ransomware blog, όπου απειλούν να δημοσιεύσουν τα δεδομένα των θυμάτων τους αν δεν καταβληθεί ένα ποσό λύτρων.
Δείτε επίσης: FBI: Διεθνής επιχείρηση οδήγησε στη διακοπή λειτουργίας του Qakbot botnet
Αλλά αυτό είναι που κάνει την ομάδα Ransomed να ξεφεύγει από τις παραδόσεις.
Η Ransomed αυτήν τη στιγμή αυτοπροσδιορίζεται ως η “Κορυφαία Εταιρεία στον Ψηφιακό Φόρο Ειρήνης”, μια προσπάθεια να νομιμοποιήσει τον εαυτό της ως κάτι περισσότερο από μια παράνομη επιχείρηση. Αυτό καθαυτό δεν είναι εντελώς καινούργιο – πολλοί δράστες ransomware θεωρούν τον εαυτό τους ως ακριβοί pen-testers – αλλά οι μέθοδοι που χρησιμοποιεί για τον εκβιασμό είναι πρωτότυπες.
Αντί να απειλούν απλώς να δημοσιεύσουν δεδομένα, οι χειριστές του Ransomed χρησιμοποιούν τους νόμους περί προστασίας δεδομένων, όπως ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR), για να πείσουν τα θύματά τους να πληρώσουν. Τα ποσά των λύτρων συνήθως είναι πολύ μικρότερα από αυτά που μπορεί να ανέλθει ως πρόστιμο GDPR, καθιστώντας την πληρωμή ακόμη πιο επιθυμητή επιλογή.
Σύμφωνα με τη δική του ιστοσελίδα, η ομάδα Ransomed εμπλέκεται ελάχιστα στο hacking αυτή καθαυτή, λειτουργώντας αντίθετα ως πρόγραμμα συνεργαζόμενων συνεργατών που προσλαμβάνει άλλους χάκερς για να εκτελούν το έργο.
Σύμφωνα με δημοσίευση στο ιστολόγιο της Flashpoint, “δεν είναι σαφές αυτή τη στιγμή εάν η Ransomed χρησιμοποιεί ένα συγκεκριμένο είδος ransom, ή εκβιάζει τα θύματα μόνο μέσω διαρροής πληροφοριών”. «Το κανάλι της αρχικά ισχυρίστηκε ότι η ομάδα αναζητούσε συνεργάτες και έκτοτε έκλεισε τις προσπάθειες στρατολόγησης και δήλωσε ότι αρκετά άτομα έχουν ενταχθεί σε αυτές – δεν υπάρχουν περαιτέρω στοιχεία για το πώς η ομάδα διεξάγει τις επιθέσεις της».
Δείτε επίσης: Αυξάνεται η δραστηριότητα του DarkGate malware
Μέχρι στιγμής η λίστα της ομάδας περιλαμβάνει μόλις εννέα θύματα, από τα οποία ένα φαίνεται να έχει πληρώσει, ένας των στοιχείων του οποίου έχει “αφαιρεθεί κατόπιν αιτήματος”, αν και ενδέχεται να επανεισαχθεί στη λίστα αν δεν προκύψει πληρωμή, και οι υπόλοιποι είτε δεν έχουν πληρωθεί είτε είναι σε διαδικασία πληρωμής.
Η ομάδα αποκαλύπτει ανοικτά την τοποθεσία της, ζητώντας από τους πιθανούς συνεργάτες να αποφεύγουν επιθέσεις σε στόχους στην Ουκρανία ή τη Ρωσία, καθώς “οι περισσότεροι χειριστές είναι από εκεί”. Άλλες προϋποθέσεις περιλαμβάνουν το να μην επιτίθενται σε κρίσιμες υποδομές χωρίς άδεια και ότι όλα τα παρεχόμενα δεδομένα πρέπει να είναι πρωτότυπα και όχι από προηγούμενες διαρροές.
Όπως επισημαίνει η Flashpoint, βρισκόμαστε σε πολύ νωρίς στάδια αναφορικά με την ομάδα, και η επαλήθευση του αν έχουν τα δεδομένα που ισχυρίζονται μπορεί να είναι δύσκολη.
Πηγή πληροφοριών: cybersecurityconnect.com.au
