Η πρόσφατη ransomware επίθεση στην Blue Yonder, η οποία επηρέασε μεγάλες εταιρείες όπως οι Starbucks, Sainsbury’s και Morrisons, φέρεται να συνδέεται με μια σχετικά νέα ομάδα με το όνομα Termite.
Η ομάδα Termite ισχυρίζεται ότι έχει κλέψει 680 GB δεδομένων, συμπεριλαμβανομένων περισσότερων από 16.000 λιστών email (οι οποίες πρόκειται να χρησιμοποιηθούν για μελλοντικές επιθέσεις) και 200.000 ασφαλιστικών εγγράφων.
Η Blue Yonder λέει ότι συνεργάζεται με ειδικούς στον τομέα της κυβερνοασφάλειας για να διερευνήσει τους ισχυρισμούς.
Η Termite έχει αναλάβει την ευθύνη για επιθέσεις εναντίον οργανισμών σε διάφορους τομείς (κυβερνητικές υπηρεσίες, εταιρείες πετρελαίου και φυσικού και αυτοκινητοβιομηχανίες). Έχει αναφέρει τουλάχιστον 10 θύματα σε όλο τον κόσμο, αν και πολλοί δεν έχουν ακόμη επιβεβαιώσει εάν ήταν στόχος ransomware επίθεσης. Φαίνεται ότι η ομάδα εστιάζει κυρίως στην Ευρώπη και τη Βόρεια Αμερική και είναι ενεργή από τον Απρίλιο του 2024.
Νέα εικόνα: Πώς ο Κρόνος κρύφτηκε πίσω από το φεγγάρι!
Βόρεια Κορέα: Κλάπηκαν crypto αξίας $ 659 εκατ. το 2024
Το TikTok ετοιμάζεται για κλείσιμο στις ΗΠΑ την Κυριακή;
Δείτε επίσης: Anna Jaques Hospital: Επίθεση ransomware εξέθεσε δεδομένα ασθενών
Μια πιθανή νέα παραλλαγή Babuk
Οι αναλυτές της Cyble έχουν αναλύσει binaries από το ransomware implant που χρησιμοποιεί η ομάδα Termite και πιστεύει ότι μάλλον πρόκειται για ένα rebranding του διαβόητου Babuk ransomware.
Η Broadcom έχει, επίσης, συνδέσει το Termite ransomware με το Babuk, παρατηρώντας το λογότυπο της ομάδας Termite.
Αξίζει να σημειωθεί ότι πριν από μερικές ημέρες συνελήφθη από τις ρωσικές αρχές ο Mikhail Pavolvich Matveev, γνωστός και ως WazaWaka. Το 2023, οι ΗΠΑ τον είχαν στοχοποιήσει ως ηγέτη της ομάδας ransomware Babuk.
Πώς το Termite Ransomware μολύνει τις συσκευές
Κατά την εκτέλεση, το ransomware Termite χρησιμοποιεί το SetProcessShutdownParameters API για να καθυστερήσει τον τερματισμό του συστήματος και να μεγιστοποιήσει τον χρόνο κρυπτογράφησης. Προσπαθεί, επίσης, να διακόψει τις υπηρεσίες στον υπολογιστή του θύματος συνδέοντας το Service Control Manager με το OpenSCManagerA() API. Με αυτόν τον τρόπο, αποτρέπει πιθανές διακοπές κατά την κρυπτογράφηση.
Δείτε επίσης: Η Deloitte αρνείται την παραβίαση ransomware στο δίκτυό της
Το ransomware ελέγχει τις υπηρεσίες στον υπολογιστή του θύματος και αναζητά την υπηρεσία Virtual Machine Management (VMMS) της Microsoft ή συστήματα virtual machine backup και συστήματα αποκατάστασης, όπως αυτά της Veeam.
Το ransomware ελέγχει διεργασίες που εκτελούνται και τις τερματίζει.
Στη συνέχεια, εκτελεί πολλές διεργασίες για να αποτρέψει την αποκατάσταση του συστήματος και να διαγράψει όλα τα αρχεία από τον «Κάδο Ανακύκλωσης», για να διασφαλίσει ότι το θύμα δεν μπορεί να ανακτήσει κανένα αρχείο μετά την κρυπτογράφηση.
Αφού κρυπτογραφήσει τα αρχεία στον υπολογιστή του θύματος, προσθέτει την επέκταση “.termite“.
Όπως το ransomware Babuk, το Termite προσθέτει επίσης την υπογραφή «choung dong looks like hot dog» στο τέλος του κρυπτογραφημένου αρχείου.
Μετά τη σάρωση για επεξεργαστές που εκτελούνται στη στοχευμένη συσκευή, το ransomware Termite δημιουργεί ένα σημείωμα λύτρων για κάθε CPU, με τίτλο “How To Restore Your Files.txt“.
Δείτε επίσης: Οι επιθέσεις Ransomware εξαντλούν τις μικρές επιχειρήσεις
Προστασία από ransomware
- Εφαρμόστε έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) για όλους τους λογαριασμούς χρηστών
- Ενεργοποιήστε firewall σε όλες τις συσκευές που είναι συνδεδεμένες στο δίκτυό σας
- Διατηρήστε τα ευαίσθητα δεδομένα κρυπτογραφημένα
- Ενημερώστε όλες τις συσκευές και τα συστήματά σας με τις πιο πρόσφατες ενημερώσεις ασφαλείας
- Διεξάγετε τακτικούς ελέγχους ασφαλείας και penetration testing
- Χρησιμοποιήστε ισχυρούς, μοναδικούς κωδικούς πρόσβασης και αλλάξτε τους τακτικά
- Περιορίστε την πρόσβαση των χρηστών μόνο σε απαραίτητα συστήματα και πληροφορίες
- Εξετάστε το ενδεχόμενο χρήσης λύσεων ασφαλείας email για πρόσθετη προστασία από επιθέσεις phishing
- Έχετε ένα σχέδιο ανάκαμψης για γρήγορη αποκατάσταση των συστημάτων σε περίπτωση επίθεσης
- Δημιουργήστε τακτικά αντίγραφα ασφαλείας των δεδομένων σας
- Μείνετε ενημερωμένοι για τις τελευταίες τάσεις και τακτικές ransomware που χρησιμοποιούν οι εισβολείς
Πηγή: www.infosecurity-magazine.com