Νέες εκδόσεις του ransomware Albabat στοχεύουν τώρα περισσότερα λειτουργικά συστήματα (Windows, Linux, macOS) και βελτιώνουν την αποτελεσματικότητα των επιθέσεων.
Ερευνητές της Trend Micro παρατήρησαν ότι η νέα έκδοση 2.0 δεν στοχεύει μόνο τα Microsoft Windows, αλλά συλλέγει επίσης πληροφορίες συστήματος και hardware για Linux και macOS συσκευές. Αυτή η έκδοση χρησιμοποιεί έναν λογαριασμό GitHub για την αποθήκευση και την παράδοση αρχείων διαμόρφωσης για ransomware.
Οι ερευνητές βρήκαν επίσης στοιχεία για την ανάπτυξη μιας άλλης παραλλαγής ransomware Albabat, 2.5, η οποία δεν έχει χρησιμοποιηθεί επί του παρόντος σε επιθέσεις. Ωστόσο, οι δύο νέες παραλλαγές καταδεικνύουν την ταχεία εξέλιξη του ransomware για την επέκταση των επιθέσεων.
Δείτε επίσης: Ransomware: Πώς το AI βοηθά στην εξέλιξη της απειλής;
Το Albabat είναι μια παραλλαγή ransomware γραμμένη σε Rust, η οποία χρησιμοποιείται για την αναγνώριση και την κρυπτογράφηση αρχείων. Εντοπίστηκε για πρώτη φορά τον Νοέμβριο του 2023.
Πώς λειτουργεί η νέα έκδοση Albabat ransomware;
Η Trend Micro αποκωδικοποίησε τη νέα έκδοση ransomware και παρατήρησε ότι στοχεύει μόνο ορισμένα αρχεία για κρυπτογράφηση, συμπεριλαμβανομένων των themepack, .bat, .com, .cmd, .cpl. Αγνοεί φακέλους όπως Searches, AppData, $RECYCLE.BIN και System Volume Information.
Επιπλέον, σταματά διεργασίες όπως taskmgr.exe, processhacker.exe, regedit.exe, code.exe, excel.exe, powerpnt.exe, winword.exe και msaccess.exe. Πιθανότατα, αυτό γίνεται για την αποφυγή του εντοπισμού και την απενεργοποίηση εργαλείων ή υπηρεσιών ασφαλείας.
Οι ερευνητές παρατήρησαν ότι το ransomware συνδέεται με μια βάση δεδομένων PostgreSQL για να παρακολουθεί μολύνσεις και πληρωμές. Αυτά τα δεδομένα βοηθούν τους εισβολείς να ζητούν λύτρα, να παρακολουθούν τις μολύνσεις και να πουλούν τα δεδομένα των θυμάτων.
Δείτε επίσης: Betruger: Η ransomware ομάδα RansomHub χρησιμοποιεί νέο backdoor
Αρχικά το Albabat ransomware στόχευε Windows συστήματα, αλλά οι ερευνητές παρατήρησαν τώρα εντολές για Linux και macOS, υποδεικνύοντας ότι έχουν αναπτυχθεί binaries για να στοχεύουν αυτές τις πλατφόρμες.
Οι ερευνητές ανακάλυψαν επίσης ότι το GitHub repository billdev.github.io χρησιμοποιείται για την αποθήκευση και παράδοση αρχείων διαμόρφωσης για το ransomware Albaba.
Αυτή η σελίδα GitHub δημιουργήθηκε στις 27 Φεβρουαρίου 2024. Ο λογαριασμός έχει καταχωρηθεί με το όνομα “Bill Borguiann“, το οποίο είναι πιθανό ψευδώνυμο. Αν και το repository που χρησιμοποιείται από το ransomware είναι επί του παρόντος ιδιωτικό, παραμένει προσβάσιμο μέσω ενός authentication token που παρατηρείται στο Fiddler κατά τη διάρκεια της σύνδεσης.
Το commit history του repository δείχνει τη συνεχή ανάπτυξη του ransomware, με τον χρήστη να τροποποιεί κυρίως τον κώδικα διαμόρφωσης.
Δείτε επίσης: Επεκτάσεις VSCode έκαναν λήψη ransomware σε πρώιμο στάδιο
Δύο νέες παραλλαγές του Albabat ransomware
Όπως αναφέραμε και παραπάνω, οι ερευνητές εντόπισαν και μια άλλη παραλλαγή που δεν έχει ακόμα χρησιμοποιηθεί για επιθέσεις. Εντοπίστηκε στο GitHub και ένας φάκελος με το όνομα 2.5.x. Δεν βρέθηκε κανένα ransomware binary στον κατάλογο 2.5.x. Αντίθετα, παρατηρήθηκε ένα αρχείο config.json. Αυτή η διαμόρφωση περιελάμβανε cryptocurrency wallets που προστέθηκαν πρόσφατα για Bitcoin, Ethereum, Solana και BNB. Δεν έχουν εντοπιστεί ακόμη συναλλαγές σε αυτά τα πορτοφόλια.
Η Trend Micro είπε ότι τα ευρήματα καταδεικνύουν τη σημασία της παρακολούθησης των δεικτών παραβίασης (IoCs) για τον έγκαιρο εντοπισμό εξελισσόμενων απειλών, όπως το Albaba ransomware. Η παρακολούθηση IoC παρέχει πληροφορίες για τα μοτίβα επιθέσεων, επιτρέποντας τη δημιουργία προληπτικών στρατηγικών πρόληψης.
Προστασία από ransomware
- Εφαρμόστε έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) για όλους τους λογαριασμούς χρηστών
- Ενεργοποιήστε firewall σε όλες τις συσκευές που είναι συνδεδεμένες στο δίκτυό σας
- Διατηρήστε τα ευαίσθητα δεδομένα κρυπτογραφημένα
- Ενημερώστε όλες τις συσκευές και τα συστήματά σας με τις πιο πρόσφατες ενημερώσεις ασφαλείας
- Διεξάγετε τακτικούς ελέγχους ασφαλείας και penetration testing
- Χρησιμοποιήστε ισχυρούς, μοναδικούς κωδικούς πρόσβασης και αλλάξτε τους τακτικά
- Περιορίστε την πρόσβαση των χρηστών μόνο σε απαραίτητα συστήματα και πληροφορίες
- Εξετάστε το ενδεχόμενο χρήσης λύσεων ασφαλείας email για πρόσθετη προστασία από επιθέσεις phishing
- Έχετε ένα σχέδιο ανάκαμψης για γρήγορη αποκατάσταση των συστημάτων σε περίπτωση επίθεσης
- Δημιουργήστε τακτικά αντίγραφα ασφαλείας των δεδομένων σας
- Μείνετε ενημερωμένοι για τις τελευταίες τάσεις και τακτικές ransomware που χρησιμοποιούν οι εισβολείς
Πηγή: www.infosecurity-magazine.com
.){kind=link}