Οι ερευνητές εντόπισαν μια νέα εκδοχή του Elpaco Ransomware, η οποία αποτελεί παραλλαγή του Mimic.
Οι hackers κατάφεραν να συνδεθούν μέσω RDP στον διακομιστή του θύματος μετά από επιτυχημένη επίθεση brute force και στη συνέχεια εκτέλεσαν το ransomware. Η παραλλαγή εκμεταλλεύεται τη βιβλιοθήκη Everything DLL, η οποία χρησιμοποιείται για την αναζήτηση αρχείων και παρέχει στο χρήστη ένα γραφικό περιβάλλον διεπαφής (GUI) για να προσαρμόσει τις ενέργειες του κακόβουλου λογισμικού. Επιπλέον, παρέχει εργαλεία για την εκτέλεση συστημικών εντολών και την απενεργοποίηση των μέτρων ασφαλείας.
Διαβάστε περισσότερα: Οι ransomware συμμορίες πλήττουν τη Νοτιοανατολική Ασία
Η παραλλαγή χρησιμοποιεί την API της Everything για να αναζητήσει συγκεκριμένα αρχεία, να κρυπτογραφήσει τις πληροφορίες του χρήστη, να ζητήσει λύτρα και να χρησιμοποιήσει προηγμένα χαρακτηριστικά, όπως η κρυπτογράφηση πολλαπλών νημάτων για ταχύτερη επίθεση. Παράλληλα, αποφεύγει την ανίχνευση με την απόκρυψη του κώδικα, καθιστώντας την πιο δύσκολη για τα εργαλεία ασφαλείας να την εντοπίσουν και να τη σταματήσουν.
Καταιγίδες μεγαλύτερες από τη Γη εντοπίστηκαν στον Δία
Black Basta ransomware: Όλες οι νέες τακτικές
Αποκαλύψεις για τον Μεγαλύτερο Κρατήρα του Φεγγαριού
Η κύρια κονσόλα του κακόβουλου λογισμικού, το αρχείο svhostss.exe, είναι το πιο ενδιαφέρον δείγμα, καθώς το όνομά του παραπέμπει στην πραγματική διαδικασία των Windows, svchost.exe. Οι hackers χρησιμοποιούν αυτήν την ονομασία για να παραπλανήσουν τα λιγότερο έμπειρα άτομα. Εντός του ίδιου καταλόγου περιλαμβάνεται το GUI, το gui40.exe, το οποίο διευκολύνει την εκτέλεση καθηκόντων όπως η τροποποίηση της σημείωσης λύτρων, η αλλαγή της επέκτασης κρυπτογράφησης, η ρύθμιση της σειράς κρυπτογράφησης, και η εξάλειψη συγκεκριμένων αρχείων ή φακέλων από την κρυπτογράφηση.
Δείτε επίσης: Οι επιθέσεις ransomware προκάλεσαν παρατεταμένες διακοπές τον Οκτώβριο
Η μηχανισμός κρυπτογράφησης της Elpaco καθιστά την ανάκτηση των κρυπτογραφημένων αρχείων αδύνατη χωρίς το ιδιωτικό κλειδί, καθιστώντας αυτή την απειλή ιδιαίτερα δύσκολη στην αντιμετώπιση. Επίσης, η Elpaco έχει τη δυνατότητα να διαγράψει τα αρχεία μετά την κρυπτογράφηση, προκειμένου να αποφευχθεί η ανίχνευση και η ανάλυση του κακόβουλου λογισμικού.
Πρόσφατα, έχουν αναφερθεί επιθέσεις σε μεγάλη κλίμακα που χρησιμοποιούν την Elpaco και άλλες παραλλαγές του Mimic, επηρεάζοντας πολλές χώρες σε όλο τον κόσμο.
Πηγή: cybersecuritynews