Ερευνητές ασφαλείας εντόπισαν μια νέα παραλλαγή της ransomware οικογένειας Phobos, γνωστή ως Faust.
Η Fortinet FortiGuard Labs, που ανέλυσε αυτή τη νέα παραλλαγή του ransomware, είπε ότι διαδίδεται μέσω ενός εγγράφου Microsoft Excel (.XLAM) που περιέχει ένα VBA script.
“Οι εισβολείς χρησιμοποίησαν την υπηρεσία Gitea για να αποθηκεύσουν πολλά κωδικοποιημένα αρχεία, το καθένα από τα οποία έφερε ένα κακόβουλο binary“, δήλωσε η ερευνήτρια ασφαλείας Cara Lin. “Όταν αυτά τα αρχεία εισάγονται στη μνήμη ενός συστήματος, ξεκινούν μια επίθεση κρυπτογράφησης αρχείων“.
Δείτε επίσης: Akira ransomware: Κυβερνοεπίθεση στο σύστημα έκτακτης ανάγκης της Κομητείας Bucks
Το Faust είναι η τελευταία παραλλαγή του Phobos ransomware. Άλλες παραλλαγές περιλαμβάνουν τις Eking, Eight, Elbie, Devos και 8Base. Αξίζει να σημειωθεί ότι το Faust είχε τεκμηριωθεί από την Cisco Talos τον Νοέμβριο του 2023.
Λέγεται ότι η νέα παραλλαγή είναι ενεργή από το 2022 και “δεν στοχεύει συγκεκριμένες βιομηχανίες ή περιοχές“.
Η μόλυνση ξεκινά με ένα έγγραφο XLAM που, όταν ανοίξει, κατεβάζει Base64-encoded data από την υπηρεσία Gitea, για να αποθηκεύσει ένα αβλαβές αρχείο XLSX. Ταυτόχρονα, ανακτά κρυφά ένα εκτελέσιμο αρχείο που μεταμφιέζεται ως ενημέρωση για το λογισμικό AVG AntiVirus (“AVG updater. exe”).
Με τη σειρά του, το binary λειτουργεί ως πρόγραμμα λήψης για την ανάκτηση και εκκίνηση ενός άλλου εκτελέσιμου με το όνομα “SmartScreen Defender Windows.exe“. Κάπως έτσι ξεκινά η διαδικασία κρυπτογράφησης μέσω μιας fileless επίθεσης για την ανάπτυξη του κακόβουλου shellcode.
“Η παραλλαγή Faust παρουσιάζει την ικανότητα διατήρησης persistence σε ένα περιβάλλον και δημιουργεί πολλαπλά threads για αποτελεσματική εκτέλεση“, είπε η Lin.
Δείτε επίσης: NoName ransomware: Πολλές οργανώσεις στη λίστα θυμάτων της
Η νέα παραλλαγή έρχεται παράλληλα με πολλές άλλες νέες οικογένειες ransomware, συμπεριλαμβανομένων των Albabat (γνωστό και ως White Bat), Kasseika, Kuiper, Mimus και το NONAME.
Η Trellix, η οποία εξέτασε τις εκδόσεις του Kuiper για Windows, Linux και macOS, απέδωσε το ransomware (που βασίζεται στη Golang) σε μια ομάδα που ονομάζεται RobinHood.
Το NONAME έχει τραβήξει, επίσης, την προσοχή, επειδή ο ιστότοπος διαρροής δεδομένων του μιμείται αυτόν της ομάδας LockBit.
Οι νέες ομάδες ransomware αυξάνουν τον κίνδυνο για τις επιχειρήσεις. Ταυτόχρονα, οι hackers χρησιμοποιούν νέες αλλά και παλιές, δοκιμασμένες και αποτελεσματικές τεχνικές. Χρησιμοποιούν, για παράδειγμα, το spear phishing, το οποίο στοχεύει συγκεκριμένα άτομα ή οργανισμούς και είναι πιο πιθανό να είναι επιτυχημένο.
Επιπλέον, αυτές οι ομάδες χρησιμοποιούν τεχνικές εξαπάτησης για να πείσουν τα θύματα να κάνουν κλικ σε επιβλαβείς συνδέσμους ή να ανοίξουν επιβλαβή αρχεία. Αυτό μπορεί να περιλαμβάνει την παραποίηση επίσημων ηλεκτρονικών μηνυμάτων ή ιστοσελίδων για να φαίνονται αξιόπιστα.
Δείτε επίσης: NCSC: Η τεχνητή νοημοσύνη (AI) θα αυξήσει τις ransomware επιθέσεις
Τέλος, οι νέες ομάδες ransomware συχνά εκμεταλλεύονται τις ευπάθειες του λογισμικού για να εισβάλλουν στα συστήματα των θυμάτων. Αυτό μπορεί να περιλαμβάνει την εκμετάλλευση παλαιότερων εκδόσεων λογισμικού που δεν έχουν ενημερωθεί ή την εκμετάλλευση μη αναφερόμενων ευπαθειών (zero-day vulnerabilities).
Πηγή: thehackernews.com
