Domov Novinky Ransomvér SunCrypt prišiel s novou taktikou vydierania

Ransomvér SunCrypt prišiel s novou taktikou vydierania

Zdielať

Ransomvérová skupina SunCrypt prednedávnom otestovala novú taktiku vydierania svojich obetí. Okrem zašifrovania dát ich vystavuje DDoS útoku, ktorého účelom je donútiť svoje obete vyjednávať.

Tento hybridný typ útoku prebieha obvykle v dvoch formách. V prvom prípade záškodníci zahájením DDoS hrozia v prípade nezaplatenia výkupného v Bitcoinoch a k jeho uskutočneniu dochádza až v momente zlyhania vyjednávaní. Útok však môže slúžiť aj ako dymová clona pre infikovanie zariadenia ransomvérom, pričom páchatelia následne požadujú za ich opätovné sprístupnenie výkupné. „Váš web je momentálne nefunkčný v dôsledku šikovnosti našej techniky. Čo najskôr nám pošlite správu alebo budú podniknuté ďalšie kroky,“ dočíta sa obeť SunCryptu. Na šírenie samotného malvéru autori zneužívajú protokol DLL. Po spustení obfuskovaného skriptu plného „if-else“ konštrukcií v PoweShelli sa zariadenie pripojí k IP adrese na URL http://91.218.114[.]31 a začne do siete vysielať svoje dáta.

Po zašifrovaní je na koniec názvu každého súboru pripojený hexadecimálny hash. Pribudne k nim aj odkaz na webstránku, ktorá obete informuje o ich nešťastí a navrhuje postup, ktorý majú zvoliť, aby došlo k odšifrovaniu ich súborov. Útočníci inštrukcie formulovali vo viacerých svetových jazykoch, čo značí, že SunCrypt nie je nijak špecificky geograficky zameraný a svoje pôsobenie plánuje rozšíriť. Medzi nedávne útoky skupiny SunCrypt patrilo napríklad septembrové napadnutie školských systémov v americkom štáte Severná Karolína. Záškodníci po neúspešnom vyjednávaní zverejnenili 5GB odcudzených dát. V rovnakom mesiaci ransomvér napadol aj univerzitnú nemocnicu v New Jersey, kde útočníci zašifrovali približne 240GB dát a zverejnili 1,7GB dát (asi 48 tisíc dokumentov).

Kyberbezpečnostnej komunite narobili vrásky na čele aj informácie o uzatvorení spojenectva skupiny SunCrypt s kartelom Maze, ktorého súčasťou je napríklad LockBit či Ragnar Locker. Zapojené skupiny zdieľajú nielen techniky, ale aj informácie o svojich obetiach. Práve skupina Maze je považovaná za priekopníka trendu tzv. dvojitého ransomvéru – vydierania obetí nielen šifrovaním, ale aj kradnutím dát, za ktorých nezverejnenie je požadované výkupné. Podľa portálu BleepingComputer však operátori Maze akékoľvek prepojenia so skupinou SunCrypt popreli.

Zdroj: CS