PYSA Gang beskæftiger ChaChi Trojan til at levere Ransomware

Ransomware-bander er ofte afhængige af en bred vifte af malware-familier for at få fuld kontrol over inficerede systemer såvel som for at sprede sig tværs over hele netværk. En af ransomware-bander, der for nylig introducerede en ny trojan i deres arsenal, er PYSA Ransomware eller Mespinoza Ransomware-banden. Påstået bruger de en tidligere uopdaget trojan kaldet ChaChi. Det er allerede blevet brugt i angreb mod amerikanske baserede enheder, der opererer i regerings- og uddannelsessektoren.

Ligesom mange andre malwareudviklere har PYSA-banden også besluttet at stole på Golang-programmeringssproget. Flere og flere cyberkriminelle bruger Golang, fordi dens ondsindede opførsel teknisk set er lidt sværere at opdage. Dette øger PYSA-bendes odds for at unddrage sig antivirusværktøjer og andre produkter til netværkssikkerhed.

Men hvad gør ChaChi Trojan?

ChaChi Trojan ser ud til at være et veludviklet projekt, der har funktioner og egenskaber, der er typiske for Remote Access Trojan (RAT.) Truslen er i stand til at opnå vedholdenhed på kompromitterede Windows-maskiner ved at misbruge Windows Registry-nøgler samt opgaveplanlægningstjenesten . Desuden får operatørerne muligheden for at få adgang til og manipulere filsystemet, stjæle legitimationsoplysninger, oprette proxyservere, udføre fjernkommandoer og meget mere.

På trods af alle disse smarte funktioner havde mange af de nylige angreb for at involvere ChaChi Trojan et slutmål - at droppe et ransomware-implantat. Selvfølgelig brugte PYSA-banden deres egen ransomware i disse angreb. Kriminelle går ikke efter almindelige forbrugere, og i stedet er deres seværdigheder sat på mål af høj værdi, som måske vælger at betale hundreder af tusinder af dollars for at få deres data tilbage.

Målene med ChaChi Trojan kan nås via falske e-mails og beder dem om at gennemgå en vedhæftet fil eller downloade en fil. Medarbejdere skal være forsigtige med tilfældige e-mails, der beder dem om at interagere med vedhæftede filer. Derudover skal deres arbejdsstationer regelmæssigt patches og beskyttes af pålidelige antivirusværktøjer.