Το EXISC Ransomware στοχεύει εταιρείες και επιχειρήσεις

Κατά τη διάρκεια της έρευνάς μας για νέες υποβολές στον ιστότοπο VirusTotal, συναντήσαμε ένα πρόγραμμα ransomware που ονομάζεται EXISC. Ο πρωταρχικός σκοπός του είναι να κρυπτογραφεί δεδομένα και να απαιτεί πληρωμή με αντάλλαγμα την αποκρυπτογράφηση τους.

Κατά την εκτέλεση ενός δείγματος του EXISC στο σύστημα δοκιμών μας, παρατηρήσαμε ότι κρυπτογραφούσε με επιτυχία αρχεία και προσάρτησε μια επέκταση ".EXISC" στα αρχικά ονόματα αρχείων τους. Για παράδειγμα, ένα αρχείο με το όνομα "1.jpg" θα μετατραπεί σε "1.jpg.EXISC", ενώ το "2.png" θα γίνει "2.png.EXISC" και ούτω καθεξής.

Μετά τη διαδικασία κρυπτογράφησης, το EXISC δημιούργησε ένα σημείωμα λύτρων με τίτλο "Παρακαλούμε επικοινωνήστε μαζί μας για Restore.txt". Από το περιεχόμενο αυτού του μηνύματος, έγινε προφανές ότι το ransomware στοχεύει κυρίως μεγάλους οργανισμούς και όχι μεμονωμένους οικιακούς χρήστες.

Το σημείωμα για τα λύτρα μεταφέρει στο θύμα ότι το δίκτυο της εταιρείας τους έχει παραβιαστεί. Η έκταση της ζημιάς περιγράφεται ως εξής: τα αρχεία έχουν κρυπτογραφηθεί και ευαίσθητα ή εμπιστευτικά δεδομένα έχουν κλαπεί.

Σύμφωνα με το σημείωμα, το θύμα πρέπει να καταβάλει λύτρα για να αποκτήσει ξανά πρόσβαση στα αρχεία του και να αποτρέψει τη διαρροή του περιεχομένου που έχει υποστεί διείσδυση. Αν και δεν προσδιορίζεται το ακριβές ποσό των λύτρων, αναφέρεται ρητά ότι η πληρωμή πρέπει να γίνει είτε σε κρυπτονομίσματα Bitcoin είτε σε Monero.

Επιπλέον, η σημείωση προτείνει ότι ένας συγκεκριμένος αριθμός αρχείων μπορεί να σταλεί για δοκιμαστική αποκρυπτογράφηση. Αυτό θα πρέπει να χρησιμεύσει ως απόδειξη στο θύμα ότι η ανάκτηση δεδομένων είναι πράγματι δυνατή.

Σημείωση EXISC Ransom Αναμένεται επαφή μέσω Tox

Το πλήρες κείμενο του σημειώματος λύτρων EXISC έχει ως εξής:

Γεια σας, ο υπολογιστής της εταιρείας σας είναι κρυπτογραφημένος από εμένα και γίνεται λήψη της βάσης δεδομένων και των δεδομένων. Εάν δεν θέλετε να αποκαλύψω αυτά τα υλικά, πρέπει να μου πληρώσετε λύτρα. Αφού λάβω τα λύτρα, θα διαγράψω όλα τα ληφθέντα αρχεία και θα σας βοηθήσω να αποκρυπτογραφήσετε τον υπολογιστή σας, διαφορετικά, εάν το κάνουμε, θα αποκαλύψουμε αυτά τα υλικά και η εταιρεία σας θα αντιμετωπίσει άνευ προηγουμένου επιπτώσεις.

Δουλεύουμε μόνο για χρήματα και δεν καταστρέφουμε το δίκτυό σας και είμαστε πολύ ειλικρινείς. Αφού λάβουμε τα λύτρα, θα σας παρέχουμε επίσης πληροφορίες σχετικά με την ευπάθεια του συστήματός σας για να σας βοηθήσουμε να διορθώσετε την ευπάθεια για να αποφύγετε επανεπιθέσεις.

Εάν αμφιβάλλετε για την ικανότητά μας να αποκρυπτογραφούμε αρχεία, μπορείτε να μου στείλετε μερικά κρυπτογραφημένα αρχεία και θα τα αποκρυπτογραφήσω για να το αποδείξω.

Πληρώστε τα λύτρα σε Bitcoin ή Monero.

Χρησιμοποιήστε το TOX για να επικοινωνήσετε μαζί μου ή να μου στείλετε email.

Διεύθυνση ηλεκτρονικού ταχυδρομείου: HonestEcoZ@dnmx.org

TOX ID: (αλφαριθμητική συμβολοσειρά)
Λήψη TOX:hxxps://tox.chat/download.html

Ποιοι είναι οι πιο συνηθισμένοι φορείς μόλυνσης για Ransomware όπως το EXISC;

Ransomware όπως το EXISC χρησιμοποιεί διάφορους φορείς μόλυνσης για να διεισδύσει σε συστήματα και δίκτυα. Τα παρακάτω είναι μερικοί από τους πιο συνηθισμένους φορείς μόλυνσης που χρησιμοποιούνται από ransomware:

• Email ηλεκτρονικού ψαρέματος: Τα μηνύματα ηλεκτρονικού ψαρέματος παραμένουν μια διαδεδομένη μέθοδος για τη διανομή ransomware. Οι εγκληματίες του κυβερνοχώρου δημιουργούν πειστικά μηνύματα ηλεκτρονικού ταχυδρομείου που φαίνονται νόμιμα, συχνά υποδύονται αξιόπιστες οντότητες ή άτομα. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου περιέχουν κακόβουλα συνημμένα ή ενσωματωμένους συνδέσμους που, όταν κάνετε κλικ ή ανοίγουν, ξεκινούν τη διαδικασία μόλυνσης από ransomware.
• Κακόβουλες λήψεις και συνημμένα: Το Ransomware μπορεί να ληφθεί κατά λάθος από κακόβουλους ιστότοπους ή μέσω μολυσμένων συνημμένων αρχείων. Αυτό μπορεί να συμβεί όταν οι χρήστες επισκέπτονται παραβιασμένους ιστότοπους ή ανοίγουν συνημμένα email που περιέχουν εκτελέσιμα αρχεία, μακροεντολές ή ωφέλιμα φορτία που βασίζονται σε σενάρια.
• Κιτ εκμετάλλευσης: Τα κιτ εκμετάλλευσης είναι κακόβουλα εργαλεία που εκμεταλλεύονται τις ευπάθειες λογισμικού που υπάρχουν σε προγράμματα περιήγησης ιστού, προσθήκες ή λειτουργικά συστήματα. Με την εκμετάλλευση αυτών των τρωτών σημείων, το ransomware μπορεί να παραδοθεί σιωπηλά στο σύστημα ενός θύματος όταν επισκέπτεται έναν παραβιασμένο ιστότοπο ή κάνει κλικ σε μια κακόβουλη διαφήμιση.
• Επιθέσεις Remote Desktop Protocol (RDP): Οι χειριστές ransomware συχνά στοχεύουν συστήματα με εκτεθειμένες ή ασθενώς ασφαλείς συνδέσεις πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας. Χρησιμοποιούν τεχνικές brute-force για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση και να εγκαταστήσουν το ransomware.
• Ευπάθειες λογισμικού: Το Ransomware μπορεί να εκμεταλλευτεί μη επιδιορθωμένες ή ξεπερασμένες ευπάθειες λογισμικού για να διεισδύσει σε συστήματα. Αυτό περιλαμβάνει ευπάθειες σε λειτουργικά συστήματα, εφαρμογές ή υπηρεσίες δικτύου, που επιτρέπουν στο ransomware να αποκτήσει μη εξουσιοδοτημένη πρόσβαση και να εκτελέσει το ωφέλιμο φορτίο του.
• Κακόβουλες διαφημίσεις: Κακόβουλες διαφημίσεις ή κακόβουλες διαφημίσεις, μπορούν να βρεθούν σε νόμιμους ιστότοπους ή δίκτυα διαφημίσεων. Αυτές οι διαφημίσεις περιέχουν κρυφά σενάρια που ανακατευθύνουν τους χρήστες σε κακόβουλους ιστότοπους που φιλοξενούν ransomware ή ενεργοποιούν αυτόματες λήψεις του ωφέλιμου φορτίου ransomware.
• Λήψεις Drive-by: Οι λήψεις Drive-by πραγματοποιούνται όταν γίνεται αυτόματη λήψη ransomware χωρίς τη συγκατάθεση ή την αλληλεπίδραση του χρήστη, συνήθως από παραβιασμένους ιστότοπους. Αυτοί οι ιστότοποι περιέχουν κακόβουλο κώδικα που εκμεταλλεύεται ευπάθειες στο πρόγραμμα περιήγησης ιστού ή στις προσθήκες του χρήστη, επιτρέποντας την αθόρυβη παράδοση του ransomware.