Το GrafGrafel Ransomware απειλεί με διπλό εκβιασμό

Κατά την εξέταση νέων δειγμάτων αρχείων, η ερευνητική μας ομάδα αποκάλυψε το κακόβουλο πρόγραμμα GrafGrafel, που ανήκει στην οικογένεια ransomware Phobos. Αυτός ο τύπος κακόβουλου λογισμικού κρυπτογραφεί δεδομένα και απαιτεί λύτρα για αποκρυπτογράφηση.

Κατά την εκτέλεση ενός δείγματος του GrafGrafel στη δοκιμαστική μηχανή μας, κρυπτογραφούσε τα αρχεία και τροποποίησε τα ονόματα των αρχείων τους. Οι αρχικοί τίτλοι περιελάμβαναν τώρα μια μοναδική ταυτότητα που εκχωρήθηκε στο θύμα, τη διεύθυνση ηλεκτρονικού ταχυδρομείου των εγκληματιών του κυβερνοχώρου και μια επέκταση ".GrafGrafel". Για παράδειγμα, ένα αρχείο που αρχικά ονομαζόταν "1.jpg" μετατράπηκε σε "1.jpg.id[9ECFA84E-3511].[GrafGrafel@tutanota.com].GrafGrafel" μετά από κρυπτογράφηση.

Μετά από αυτήν τη διαδικασία κρυπτογράφησης, σημειώσεις λύτρων εμφανίστηκαν σε ένα αναδυόμενο παράθυρο ("info.hta") και σε αρχεία κειμένου ("info.txt"). Τα αρχεία κειμένου κατατέθηκαν σε κρυπτογραφημένους καταλόγους και στην επιφάνεια εργασίας. Το περιεχόμενο αυτών των σημειώσεων δείχνει ότι η GrafGrafel στοχεύει συγκεκριμένα εταιρείες και όχι μεμονωμένους χρήστες, χρησιμοποιώντας τακτικές διπλού εκβιασμού.

Τόσο τα αναδυόμενα αρχεία όσο και τα αρχεία κειμένου περιέχουν πανομοιότυπα μηνύματα, δηλώνοντας ότι τα αρχεία του θύματος είναι κρυπτογραφημένα και ότι τα ευαίσθητα δεδομένα της εταιρείας έχουν διεξαχθεί. Οι εισβολείς απαιτούν λύτρα, απειλώντας να διαρρεύσουν τις κλεμμένες πληροφορίες και να διατηρήσουν τα κλειδωμένα δεδομένα απρόσιτα εάν δεν ικανοποιηθούν τα αιτήματά τους. Οι σημειώσεις υπογραμμίζουν τον κίνδυνο διαρροής εταιρικών δεδομένων και αναφέρουν μείωση 30% στα λύτρα εάν το θύμα επικοινωνήσει με τους εγκληματίες του κυβερνοχώρου εντός 6 ωρών.

Πριν πραγματοποιήσει την πληρωμή, το θύμα έχει την επιλογή να δοκιμάσει την αποκρυπτογράφηση σε μερικά μικρά αρχεία. Τα μηνύματα προειδοποιούν για ενέργειες που θα μπορούσαν να οδηγήσουν σε μόνιμη απώλεια δεδομένων, όπως επανεκκίνηση ή τερματισμός λειτουργίας του συστήματος, μετονομασία/αντιγραφή/μετακίνηση ή τροποποίηση των επηρεαζόμενων αρχείων, χρήση εργαλείων αποκρυπτογράφησης τρίτων και επικοινωνία με εταιρείες ή αρχές ανάκτησης.

Το GrafGrafel Ransom Note εκτείνεται σε πολλές σελίδες κειμένου

Το πλήρες κείμενο του σημειώματος λύτρων της GrafGrafel έχει ως εξής:

ATTENTION

Your network is hacked and files are encrypted.
Including the encrypted data we also downloaded other confidential information: data of your employees, customers, partners, as well as accounting and other internal documentation of your company.

About Data
All data is stored until you will pay.
After payment we will provide you the programs for decryption and we will delete your data
We dont want did something bad to your company, it is just bussines (Our reputation is our money!)
If you refuse to negotiate with us (for any reason) all your data will be put up for sale.

Τι θα αντιμετωπίσετε εάν τα δεδομένα σας βρεθούν στη μαύρη αγορά:
Τα προσωπικά στοιχεία των υπαλλήλων και των πελατών σας ενδέχεται να χρησιμοποιηθούν για τη λήψη δανείου ή για αγορές σε ηλεκτρονικά καταστήματα.
Ενδέχεται να μηνυθείτε από πελάτες της εταιρείας σας για διαρροή πληροφοριών που ήταν εμπιστευτικές.
Αφού άλλοι χάκερ αποκτήσουν προσωπικά δεδομένα για τους υπαλλήλους σας, η κοινωνική μηχανική θα εφαρμοστεί στην εταιρεία σας και οι επόμενες επιθέσεις θα ενταθούν.
Τα τραπεζικά στοιχεία και τα διαβατήρια μπορούν να χρησιμοποιηθούν για τη δημιουργία τραπεζικών λογαριασμών και διαδικτυακών πορτοφολιών μέσω των οποίων θα ξεπλένεται εγκληματικό χρήμα.
Θα χάσεις για πάντα τη φήμη.
Θα υποστείτε τεράστια πρόστιμα από την κυβέρνηση.
Μπορείτε να μάθετε περισσότερα σχετικά με την ευθύνη για απώλεια δεδομένων εδώ: hxxps://en.wikipedia.org/wiki/General_Data_Protection_Regulationή εδώ hxxps://gdpr-info.eu
Τα δικαστήρια, τα πρόστιμα και η αδυναμία χρήσης σημαντικών αρχείων θα σας οδηγήσουν σε τεράστιες απώλειες. Οι συνέπειες αυτού θα είναι μη αναστρέψιμες για εσάς.
Η επικοινωνία με την αστυνομία δεν θα σας σώσει από αυτές τις συνέπειες και η απώλεια δεδομένων θα επιδεινώσει την κατάστασή σας.

Πώς να επικοινωνήσετε μαζί μας
Γράψτε μας στα mail: GrafGrafel@tutanota.com
Μπορείτε να επικοινωνήσετε με τον ηλεκτρονικό μας χειριστή στο τηλεγράφημα: @GROUNDINGCONDUCTOR (ΠΡΟΣΟΧΗ ΣΧΕΤΙΚΑ ΜΕ ΤΟ ΨΕΥΤΙΚΟ)
Πραγματοποιήστε λήψη του (Session) messenger hxxps://getsession.org στο messenger :ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Γράψτε αυτό το αναγνωριστικό στον τίτλο του μηνύματός σας -
ΕΑΝ ΕΠΙΚΟΙΝΩΝΗΣΕΤΕ ΜΑΖΙ ΜΑΣ ΣΤΙΣ ΠΡΩΤΕΣ 6 ώρες και κλείσουμε τη συμφωνία μας σε 24 ώρες, η ΤΙΜΗ ΘΑ ΕΙΝΑΙ ΜΟΝΟ 30%.
(ο χρόνος είναι χρήμα και για τους δυο μας, αν φροντίζετε για το χρόνο μας, θα κάνουμε το ίδιο, θα φροντίσουμε για την τιμή και η διαδικασία αποκρυπτογράφησης θα γίνει ΠΟΛΥ ΓΡΗΓΟΡΑ)
ΟΛΑ ΤΑ ΛΗΨΕΜΕΝΑ ΔΕΔΟΜΕΝΑ ΘΑ ΔΙΑΓΡΑΦΟΥΝ μετά την πληρωμή.

Τι όχι να κάνετε και σύσταση
Μπορείτε να βγείτε από αυτή την κατάσταση με ελάχιστες απώλειες (Η φήμη μας είναι τα χρήματά μας!) !!! Για να το κάνετε αυτό, πρέπει να τηρείτε αυστηρά τους ακόλουθους κανόνες:
ΜΗΝ τροποποιήσετε, ΜΗΝ μετονομάσετε, ΜΗΝ αντιγράψετε, ΜΗΝ μετακινήσετε κανένα αρχείο. Τέτοιες ενέργειες ενδέχεται να τους ΒΛΑΒΟΥΝ και η αποκρυπτογράφηση θα είναι αδύνατη.
ΜΗΝ χρησιμοποιείτε λογισμικό αποκρυπτογράφησης τρίτου ή δημόσιου μέρους, μπορεί επίσης να ΒΛΑΒΕΙ αρχεία.
ΜΗΝ ΚΛΕΙΣΤΕ ή ΜΗΝ επανεκκινήσετε το σύστημα, αυτό μπορεί να ΚΑΤΑΣΦΑΛΙΣΕΙ τα αρχεία.
ΜΗΝ προσλάβετε τρίτους διαπραγματευτές (ανάκτηση/αστυνομία κ.λπ.) Πρέπει να επικοινωνήσετε μαζί μας το συντομότερο δυνατό και να ξεκινήσετε τις διαπραγματεύσεις.
Μπορείτε να μας στείλετε 1-2 μικρά αρχεία δεδομένων χωρίς αξία για δοκιμή, θα τα αποκρυπτογραφήσουμε και θα σας τα στείλουμε πίσω.
Μετά την πληρωμή, δεν χρειαζόμαστε περισσότερες από 2 ώρες για την αποκρυπτογράφηση όλων των δεδομένων σας. Θα σας υποστηρίξουμε μέχρι να ολοκληρωθεί η πλήρης αποκρυπτογράφηση! ! ! (Η φήμη μας είναι τα χρήματά μας!)

Οδηγίες επικοινωνίας με την ομάδα μας:
Λήψη του messenger (Session) (hxxps://getsession.org) στο messenger :ID"05bc5e20c9c6fbfd9a58bfa222cecd4bbf9b5cf4e1ecde84a0b8b3de23ce8e144e"
Telrgram : @GROUNDINGCONDUCTOR (ΠΡΟΣΟΧΗ ΓΙΑ ΤΟ ΨΕΥΤΙΚΟ)
ΤΑΧΥΔΡΟΜΕΙΟ: GrafGrafel@tutanota.com

Τι είναι η οικογένεια κλώνων Ransomware Phobos;

Το Phobos είναι μια οικογένεια ransomware που είναι γνωστό ότι στοχεύει συστήματα Windows. Έχει σχεδιαστεί για να κρυπτογραφεί αρχεία στο μολυσμένο σύστημα, καθιστώντας τα απρόσιτα στον χρήστη και στη συνέχεια απαιτεί λύτρα σε αντάλλαγμα για το κλειδί αποκρυπτογράφησης. Η οικογένεια ransomware Phobos χαρακτηρίζεται από τη χρήση μιας συγκεκριμένης επέκτασης αρχείου που προστίθεται στα κρυπτογραφημένα αρχεία, αντικατοπτρίζοντας συχνά το όνομα της παραλλαγής ransomware.

Οι σημειώσεις λύτρων που παραδίδονται από τον Phobos περιέχουν συνήθως οδηγίες για το πώς το θύμα μπορεί να πληρώσει τα λύτρα για να αποκτήσει το κλειδί αποκρυπτογράφησης. Ο Phobos είναι γνωστός για τη χρήση τακτικών διπλού εκβιασμού, όπου, εκτός από την κρυπτογράφηση αρχείων, μπορεί να διεισδύσει ευαίσθητα δεδομένα από το παραβιασμένο σύστημα. Οι φορείς απειλών πίσω από το Phobos χρησιμοποιούν στη συνέχεια τα κλεμμένα δεδομένα ως μόχλευση, απειλώντας να τα δημοσιεύσουν εκτός εάν καταβληθούν τα λύτρα.

Είναι σημαντικό να σημειωθεί ότι υπάρχουν πολλές παραλλαγές και κλώνοι στην οικογένεια ransomware Phobos, το καθένα με τα δικά του συγκεκριμένα χαρακτηριστικά και μεθόδους λειτουργίας. Αυτές οι παραλλαγές μπορεί να εισαχθούν ή να τροποποιηθούν με την πάροδο του χρόνου από διαφορετικές ομάδες κυβερνοεγκληματιών. Λόγω της εξελισσόμενης φύσης του ransomware, ειδικοί στον τομέα της ασφάλειας στον κυβερνοχώρο και εταιρείες προστασίας από ιούς εργάζονται συνεχώς για τον εντοπισμό και τον μετριασμό των απειλών που σχετίζονται με την οικογένεια Phobos και άλλα στελέχη ransomware. Η τακτική ενημέρωση του λογισμικού ασφαλείας, η εφαρμογή καλής υγιεινής στον κυβερνοχώρο και η διατήρηση ασφαλών πρακτικών δημιουργίας αντιγράφων ασφαλείας είναι απαραίτητα για την ελαχιστοποίηση του κινδύνου και των επιπτώσεων των επιθέσεων ransomware.