Οι ερευνητές κυβερνοασφάλειας έχουν αποκαλύψει μια Linux παραλλαγή του πρόσφατου Helldown ransomware.
Το Helldown αναπτύσσει ransomware για Windows, βασισμένο στον κώδικα του LockBit 3.0, όπως αναφέρει η Sekoia. Νέα στοιχεία υποδεικνύουν ότι η ομάδα ενδέχεται να επεκτείνει τις δραστηριότητές της, στοχεύοντας εικονικές υποδομές μέσω VMware.
Διαβάστε επίσης: ShrinkLocker ransomware: Δωρεάν εργαλείο αποκρυπτογράφησης
Το Helldown εστιάζει σε τομείς όπως οι υπηρεσίες πληροφορικής, οι τηλεπικοινωνίες, η βιομηχανία και η υγειονομική περίθαλψη. Όπως και άλλες ομάδες ransomware, χρησιμοποιεί ιστοσελίδες διαρροής δεδομένων για να πιέσει τα θύματά του να πληρώσουν λύτρα, απειλώντας με δημοσίευση των κλεμμένων δεδομένων.
Οι ransomware επιθέσεις Helldown έχουν καταγραφεί να εκμεταλλεύονται firewalls της Zyxel για αρχική πρόσβαση. Ακολουθούν ενέργειες όπως η διατήρηση πρόσβασης, η συλλογή διαπιστευτηρίων και η εσωτερική κίνηση στο δίκτυο, με στόχο την τελική ανάπτυξη του ransomware.
Δείτε περισσότερα: Το Microsoft Teams έγινε στόχος από τη συμμορία Black Basta
Αυτή η εξέλιξη έρχεται καθώς η Cisco Talos αποκάλυψε μια νέα οικογένεια ransomware με την ονομασία Interlock, που στοχεύει τους τομείς υγειονομικής περίθαλψης, τεχνολογίας και κυβερνητικών δομών στις Η.Π.Α., καθώς και βιομηχανικές μονάδες στην Ευρώπη. Το Interlock έχει τη δυνατότητα να κρυπτογραφεί τόσο συστήματα Windows όσο και Linux.
Αλυσίδες επιθέσεων που διανέμουν ransomware έχουν παρατηρηθεί να χρησιμοποιούν ένα ψεύτικο εκτελέσιμο αρχείο ενημέρωσης του Google Chrome, το οποίο φιλοξενείται σε έναν έγκυρο αλλά παραβιασμένο ειδησεογραφικό ιστότοπο. Κατά την εκτέλεσή του, απελευθερώνει ένα trojan απομακρυσμένης πρόσβασης (RAT) που δίνει τη δυνατότητα στους επιτιθέμενους να εξάγουν ευαίσθητα δεδομένα και να εκτελούν εντολές PowerShell για τη λήψη payloads. Αυτά τα payloads χρησιμοποιούνται για συλλογή διαπιστευτηρίων και αναγνώριση.
Διαβάστε επίσης: Οι επιθέσεις ransomware προκάλεσαν παρατεταμένες διακοπές τον Οκτώβριο
Η Interlock θεωρείται νέα ομάδα που πιθανώς προέρχεται από τους χειριστές ή προγραμματιστές της Rhysida, βασισμένη στις ομοιότητες στις τακτικές και τα εργαλεία τους. Παράλληλα, το SafePay έχει εμφανιστεί και ισχυρίζεται ότι στοχεύει 22 εταιρείες, χρησιμοποιώντας το LockBit 3.0 ως βάση.
Πηγή: thehackernews
