Η PYSA Gang χρησιμοποιεί το ChaChi Trojan για να παραδώσει Ransomware
Οι συμμορίες Ransomware συχνά βασίζονται σε ένα ευρύ φάσμα οικογενειών κακόβουλου λογισμικού για να αποκτήσουν τον πλήρη έλεγχο των μολυσμένων συστημάτων, καθώς και να εξαπλωθούν πλευρικά σε ολόκληρα δίκτυα. Μία από τις συμμορίες ransomware που εισήγαγε πρόσφατα ένα νέο Trojan στο οπλοστάσιό τους είναι η συμμορία PYSA Ransomware ή Mespinoza Ransomware. Σύμφωνα με ισχυρισμούς, χρησιμοποιούν έναν προηγούμενο μη εντοπισμένο Δούρειο που ονομάζεται ChaChi. Έχει ήδη χρησιμοποιηθεί σε επιθέσεις εναντίον οντοτήτων με έδρα τις ΗΠΑ που δραστηριοποιούνται στον κυβερνητικό και εκπαιδευτικό τομέα.
Όπως πολλοί άλλοι προγραμματιστές κακόβουλου λογισμικού, η συμμορία PYSA αποφάσισε επίσης να βασιστεί στη γλώσσα προγραμματισμού Golang. Όλο και περισσότεροι εγκληματίες στον κυβερνοχώρο χρησιμοποιούν το Golang επειδή η κακόβουλη συμπεριφορά του είναι, τεχνικά, λίγο πιο δύσκολο να εντοπιστεί. Αυτό αυξάνει τις πιθανότητες της συμμορίας της PYSA να αποφεύγει τα εργαλεία προστασίας από ιούς και άλλα προϊόντα ασφάλειας δικτύου.
Τι κάνει όμως το ChaChi Trojan;
Το ChaChi Trojan φαίνεται να είναι ένα καλά ανεπτυγμένο έργο, το οποίο έχει χαρακτηριστικά και ιδιότητες χαρακτηριστικές για το Remote Access Trojan (RAT.) Η απειλή είναι σε θέση να κερδίσει επιμονή σε παραβιασμένα μηχανήματα Windows καταχρώντας τα κλειδιά μητρώου των Windows, καθώς και την υπηρεσία προγραμματισμού εργασιών . Επιπλέον, οι χειριστές του αποκτούν τη δυνατότητα πρόσβασης και χειρισμού του συστήματος αρχείων, κλέβουν διαπιστευτήρια, δημιουργούν διακομιστές μεσολάβησης, εκτελούν απομακρυσμένες εντολές και πολλά άλλα.
Παρά όλα αυτά τα φανταχτερά χαρακτηριστικά, πολλές από τις πρόσφατες επιθέσεις που αφορούσαν το ChaChi Trojan είχαν έναν τελικό στόχο - να ρίξει ένα εμφύτευμα ransomware. Φυσικά, η συμμορία PYSA χρησιμοποίησε το δικό της ransomware σε αυτές τις επιθέσεις. Οι εγκληματίες δεν ακολουθούν τους τακτικούς καταναλωτές και, αντίθετα, τα βλέμματά τους τίθενται σε στόχους υψηλής αξίας, οι οποίοι ενδέχεται να επιλέξουν να πληρώσουν εκατοντάδες χιλιάδες δολάρια για να πάρουν τα δεδομένα τους πίσω.
Οι στόχοι του ChaChi Trojan μπορούν να προσεγγιστούν μέσω δόλιων μηνυμάτων ηλεκτρονικού ταχυδρομείου, ζητώντας τους να ελέγξουν ένα συνημμένο ή να κατεβάσουν ένα αρχείο. Οι εργαζόμενοι πρέπει να είναι προσεκτικοί με τυχαία μηνύματα ηλεκτρονικού ταχυδρομείου που τους ζητούν να αλληλεπιδρούν με συνημμένα. Επιπλέον, οι σταθμοί εργασίας τους πρέπει να επιδιορθώνονται τακτικά και να προστατεύονται από αξιόπιστα εργαλεία προστασίας από ιούς.
