Η Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky (GReAT) δημοσίευσε μια έκθεση που περιγράφει τις πρόσφατες επιθέσεις ransomware με χρήση κώδικα που έχει διαρρεύσει. H έρευνα ρίχνει φως στα εργαλεία και τις μεθόδους που χρησιμοποιούνται τόσο από οργανωμένες ομάδες ransomware όσο και από μεμονωμένους δράστες.
Με τεράστια ποικιλία εργαλείων και δειγμάτων στη διάθεσή τους, εγκληματικές οργανώσεις ransomware στον κυβερνοχώρο συχνά διαθέτουν δικά τους δείγματα ransomware, ενώ μεμονωμένοι δράστες συχνά χρησιμοποιούν DIY παραλλαγές που έχουν διαρρεύσει για να εξαπολύσουν τις επιθέσεις τους.
Η τελευταία έρευνα της Kaspersky αποκαλύπτει πρόσφατες επιθέσεις ransomware, οι οποίες εκμεταλλεύονται τις διαρροές πηγαίου κώδικα, επιτρέποντας στους δράστες να εντοπίσουν τα θύματα και να αναπαράγουν γρήγορα κακόβουλη δραστηριότητα – καθιστώντας τους σημαντική απειλή.
Τον περασμένο Απρίλιο, η ομάδα SEXi επιτέθηκε στην IxMetro, χρησιμοποιώντας μια πρόσφατα αναγνωρισμένη παραλλαγή ransomware που ονομάστηκε SEXi. Η ομάδα αυτή στοχοποιεί εφαρμογές ESXi, ενώ όλα τα αναγνωρισμένα θύματα χρησιμοποιούσαν μη υποστηριζόμενες εκδόσεις των εφαρμογών αυτών. Η SEXi ξεχωρίζει χρησιμοποιώντας διαφορετικές παραλλαγές ransomware για κάθε πλατφόρμα – Babuk για Linux και Lockbit για Windows. Είναι επίσης οι μόνοι που χρησιμοποιούν την εφαρμογή Session για επικοινωνία, με ένα ενιαίο ID για πολλαπλές επιθέσεις. Αυτή η έλλειψη επαγγελματισμού και η απουσία ενός ιστότοπου διαρροής TOR τους έκανε να ξεχωρίσουν ακόμα περισσότερο.
Η Key Group, γνωστή και ως keygroup777, έχει χρησιμοποιήσει οκτώ διαφορετικές κατηγορίες ransomware από τη σύστασή της τον Απρίλιο του 2022. Οι τεχνικές τους και οι μηχανισμοί ανθεκτικότητας που χρησιμοποιούν εξελίσσονται με κάθε νέα παραλλαγή. Η παραλλαγή UX-Cryptor, για παράδειγμα, χρησιμοποίησε πολλές καταχωρήσεις μητρώου για ανθεκτικότητα, ενώ η παραλλαγή Chaos είχε μια διαφορετική προσέγγιση που σχετίζεται με τον φάκελο εκκίνησης. Παρά τις εναλλακτικές μεθόδους της, η Key Group φημίζεται για την αντιεπαγγελματική λειτουργία της, συμπεριλαμβανομένης της χρήσης ενός δημόσιου GitHub repository για επικοινωνία C2 και Telegram για αλληλεπίδραση, διευκολύνοντας την παρακολούθησή τους.
Το Mallox, μια λιγότερο γνωστή παραλλαγή ransomware, εμφανίστηκε για πρώτη φορά το 2021 και ξεκίνησε το πρόγραμμα συνεργασιών του το 2022. Σε αντίθεση με τη SEXi και την Key Group, οι δημιουργοί του Mallox ισχυρίζονται ότι έχουν αγοράσει τον πηγαίο κώδικα.
Η ομάδα αυτή συνεργάζεται αποκλειστικά με ρωσόφωνες θυγατρικές και στοχεύει σε οργανισμούς με έσοδα άνω των 10 εκατομμυρίων δολαρίων ΗΠΑ, αποφεύγοντας νοσοκομεία και εκπαιδευτικά ιδρύματα. Οι θυγατρικές της Mallox, που παρακολουθούνταν μέσω μοναδικών ID, συνετέλεσαν στη σημαντική αύξηση δραστηριότητας το 2023.
«Η δυνατότητα αποκλεισμού των νέων εγχειρημάτων ransomware έχει πέσει κατακόρυφα. Με τυποποιημένο ransomware και προγράμματα θυγατρικών, ακόμη και οι αρχάριοι ψηφιακοί εγκληματίες αποτελούν σημαντική απειλή», σχολιάζει ο Jornt van der Wiel, ανώτερος ερευνητής ψηφιακής ασφάλειας στην GReAt της Kaspersky.
Ενώ οι ομάδες που χρησιμοποιούν διαρροές παραλλαγών στερούνται υψηλών επιπέδων επαγγελματισμού, η αποτελεσματικότητά τους οφείλεται σε επιτυχημένα προγράμματα συνεργασιών ή εξειδικευμένη στόχευση, όπως φαίνεται από την Key Group και τη SEXi. Η δημοσίευση και η διαρροή παραλλαγών ransomware αποτελούν επομένως σημαντικές απειλές τόσο για οργανισμούς όσο και για ιδιώτες.