Το LostTrust Ransomware στοχεύει επιχειρήσεις

Συναντήσαμε μια παραλλαγή ransomware γνωστή ως LostTrust κατά την εξέταση δειγμάτων κακόβουλου λογισμικού. Ο πρωταρχικός στόχος του LostTrust είναι η κρυπτογράφηση δεδομένων, καθιστώντας τα απρόσιτα στα θύματα. Επιπλέον, το LostTrust προσαρτά την επέκταση ".losttrustencoded" στα ονόματα αρχείων και παραδίδει μια σημείωση λύτρων με την ένδειξη "!LostTrustEncoded.txt."

Για να δείξει πώς το LostTrust αλλάζει τα ονόματα αρχείων, μετατρέπει το "1.jpg" σε "1.jpg.losttrustencoded", το "2.png" σε "2.png.losttrustencoded" και ούτω καθεξής.

Το σημείωμα αναφέρει ότι οι επιτιθέμενοι έχουν λάβει σημαντικό αριθμό κρίσιμων δεδομένων από το δίκτυο του θύματος και προσφέρεται να παράσχει μια λεπτομερή λίστα των παραβιασμένων αρχείων κατόπιν αιτήματος. Υπόσχονται επίσης να αποκρυπτογραφήσουν μερικά αρχεία δωρεάν, αρκεί κάθε αρχείο να μην είναι μεγαλύτερο από 5 megabyte.

Η σημείωση διαβεβαιώνει ότι η πληρωμή θα έχει ως αποτέλεσμα την επιτυχή αποκρυπτογράφηση όλων των δεδομένων και την αποκάλυψη των τρωτών σημείων που χρησιμοποιούνται για την διείσδυση στο δίκτυο.

Επιπλέον, περιγράφει τις πιθανές επιπτώσεις της άρνησης συνεργασίας, οι οποίες περιλαμβάνουν τη δημόσια δημοσιοποίηση ή πώληση των κλεμμένων δεδομένων, τις συνεχείς επιθέσεις στον κυβερνοχώρο, τη στόχευση συνεργατών και προμηθευτών και τη δυνατότητα νομικών ενεργειών για παραβιάσεις δεδομένων. Η σημείωση παρέχει οδηγίες για την επικοινωνία με τους εισβολείς μέσω του προγράμματος περιήγησης Tor, της ζωντανής συνομιλίας στον ιστότοπό τους ή ενός VPN εάν το Tor είναι περιορισμένο στην περιοχή του θύματος.

Στο σημείωμα, οι εγκληματίες του κυβερνοχώρου ορίζουν προθεσμία τριών ημερών για την έναρξη επαφής και προειδοποιούν ότι τα κλειδιά αποκρυπτογράφησης θα καταστραφούν οριστικά εάν δεν υπάρξει επικοινωνία. Απειλούν επίσης να δημοσιεύσουν τα δεδομένα του θύματος εάν εμπλακούν τρίτοι διαπραγματευτές.

Σημείωση LostTrust Ransom Υποδεικνύει ότι οι χάκερ στοχεύουν επιχειρήσεις

Το πλήρες κείμενο του σημειώματος λύτρων LostTrust έχει ως εξής:

Στο διοικητικό συμβούλιο.

Το δίκτυό σας έχει δεχθεί επίθεση μέσω διαφόρων ευπαθειών που βρέθηκαν στο σύστημά σας.
Αποκτήσαμε πλήρη πρόσβαση σε ολόκληρη την υποδομή του δικτύου.

Η ομάδα μας έχει εκτεταμένο υπόβαθρο στο νομικό και λεγόμενο hacking λευκών καπέλων.
Ωστόσο, οι πελάτες θεωρούσαν συνήθως τις ευπάθειες που βρέθηκαν ως μικρές και ανεπαρκείς
πληρώσαμε για τις υπηρεσίες μας.
Έτσι αποφασίσαμε να αλλάξουμε το επιχειρηματικό μας μοντέλο. Τώρα καταλαβαίνετε πόσο σημαντικό είναι
να διαθέσει έναν καλό προϋπολογισμό για την ασφάλεια πληροφορικής.
Αυτό είναι σοβαρό θέμα για εμάς και πραγματικά δεν θέλουμε να καταστρέψουμε το απόρρητό σας,
φήμη και μια εταιρεία.
Θέλουμε απλώς να πληρωθούμε για τη δουλειά μας, καθώς βρίσκουμε τρωτά σημεία σε διάφορα δίκτυα.

Τα αρχεία σας αυτή τη στιγμή είναι κρυπτογραφημένα με τον εξατομικευμένο μας αλγόριθμο τελευταίας τεχνολογίας.
Μην προσπαθήσετε να τερματίσετε άγνωστες διεργασίες, μην τερματίσετε τους διακομιστές, μην αποσυνδέετε μονάδες δίσκου,
όλα αυτά μπορεί να οδηγήσουν σε μερική ή πλήρη απώλεια δεδομένων.

Καταφέραμε επίσης να κατεβάσουμε μεγάλο αριθμό διαφόρων, κρίσιμων δεδομένων από το δίκτυό σας.
Μια πλήρης λίστα αρχείων και δειγμάτων θα παρέχεται κατόπιν αιτήματος.

Μπορούμε να αποκρυπτογραφήσουμε μερικά αρχεία δωρεάν. Το μέγεθος κάθε αρχείου δεν πρέπει να υπερβαίνει τα 5 megabyte.

Όλα τα δεδομένα σας θα αποκρυπτογραφηθούν με επιτυχία αμέσως μετά την πληρωμή σας.
Θα λάβετε επίσης μια λεπτομερή λίστα με τα τρωτά σημεία που χρησιμοποιούνται για να αποκτήσετε πρόσβαση στο δίκτυό σας.

Εάν αρνηθείτε να συνεργαστείτε μαζί μας, αυτό θα οδηγήσει στις ακόλουθες συνέπειες για την εταιρεία σας:

Όλα τα δεδομένα που λαμβάνετε από το δίκτυό σας θα δημοσιευτούν δωρεάν ή ακόμη και θα πωληθούν

Το σύστημά σας θα δέχεται συνεχείς επιθέσεις, τώρα που γνωρίζουμε όλα τα αδύναμα σημεία σας

Θα επιτεθούμε επίσης στους συνεργάτες και τους προμηθευτές σας χρησιμοποιώντας πληροφορίες που λαμβάνονται από το δίκτυό σας

Μπορεί να οδηγήσει σε νομικές ενέργειες εναντίον σας για παραβιάσεις δεδομένων

!!!!Οδηγίες επικοινωνίας με την ομάδα μας!!!!
Κατεβάστε και εγκαταστήστε το πρόγραμμα περιήγησης TOR από αυτόν τον ιστότοπο: hxxps://torproject.org
Για επικοινωνήστε μαζί μας μέσω LIVE CHAT ανοίξτε την ιστοσελίδα μας: -
Εάν το Tor είναι περιορισμένο στην περιοχή σας, χρησιμοποιήστε το VPN
Όλα τα δεδομένα σας θα δημοσιευτούν σε 3 ημέρες εάν ΔΕΝ πραγματοποιηθεί καμία επαφή
Τα κλειδιά αποκρυπτογράφησης σας θα καταστραφούν οριστικά σε 3 ημέρες εάν δεν υπάρξει επαφή
Τα δεδομένα σας θα δημοσιευτούν εάν προσλάβετε τρίτους διαπραγματευτές για να επικοινωνήσουν μαζί μας

Πώς διανέμεται στο Διαδίκτυο το Ransomware Like LostTrust;

Το Ransomware όπως το LostTrust διανέμεται συνήθως στο διαδίκτυο χρησιμοποιώντας διάφορες μεθόδους και τεχνικές. Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν μια σειρά από στρατηγικές για να μολύνουν τα συστήματα των θυμάτων με αυτόν τον τύπο κακόβουλου λογισμικού:

Email ηλεκτρονικού ψαρέματος: Μία από τις πιο κοινές μεθόδους διανομής περιλαμβάνει την αποστολή κακόβουλων μηνυμάτων ηλεκτρονικού ταχυδρομείου που φαίνονται νόμιμες. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου ενδέχεται να περιέχουν μολυσμένα συνημμένα (π.χ. έγγραφα Word ή PDF) ή συνδέσμους προς κακόβουλους ιστότοπους. Μόλις το θύμα ανοίξει το συνημμένο ή κάνει κλικ στον σύνδεσμο, το ωφέλιμο φορτίο ransomware κατεβάζεται και εκτελείται στο σύστημά του.
Κακόβουλες λήψεις: Οι εγκληματίες του κυβερνοχώρου ενδέχεται να δημιουργήσουν ψεύτικους ιστότοπους ή να παραβιάσουν νόμιμες για να φιλοξενήσουν κακόβουλο λογισμικό. Τα θύματα ενδέχεται να κατεβάσουν εν αγνοία τους το ransomware όταν επισκέπτονται αυτούς τους ιστότοπους ή κάνουν κλικ σε κακόβουλες διαφημίσεις.
Κιτ εκμετάλλευσης: Τα κιτ εκμετάλλευσης είναι κιτ εργαλείων που περιέχουν εκμεταλλεύσεις για γνωστά τρωτά σημεία σε λογισμικό και προγράμματα περιήγησης. Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν αυτά τα κιτ για να μολύνουν αυτόματα συστήματα που δεν έχουν επιδιορθωθεί ή ενημερωθεί με τις πιο πρόσφατες επιδιορθώσεις ασφαλείας. Μόλις το σύστημα παραβιαστεί, το ransomware παραδίδεται.
Λήψεις Drive-by: Αυτή η μέθοδος περιλαμβάνει τη μόλυνση ιστότοπων με κακόβουλο κώδικα. Όταν ένας χρήστης επισκέπτεται έναν μολυσμένο ιστότοπο, το ransomware κατεβάζεται αυτόματα και εκτελείται στον υπολογιστή του χωρίς να απαιτείται καμία ενέργεια από την πλευρά του χρήστη.
Κακόβουλη διαφήμιση: Οι εγκληματίες του κυβερνοχώρου ενδέχεται να θέτουν σε κίνδυνο τα διαδικτυακά διαφημιστικά δίκτυα και να προβάλλουν κακόβουλες διαφημίσεις (κακοπροβολή) σε νόμιμους ιστότοπους. Το κλικ σε αυτές τις κακόβουλες διαφημίσεις μπορεί να οδηγήσει σε μολύνσεις ransomware.
Επιθέσεις Remote Desktop Protocol (RDP): Οι εισβολείς ενδέχεται να εκμεταλλευτούν αδύναμα ή προεπιλεγμένα διαπιστευτήρια RDP για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στο σύστημα του θύματος. Μόλις μπουν μέσα, μπορούν να εγκαταστήσουν χειροκίνητα ransomware.
Επιθέσεις Watering Hole: Σε αυτήν τη μέθοδο, οι εγκληματίες του κυβερνοχώρου στοχεύουν ιστότοπους που επισκέπτονται συχνά τα θύματά τους. Παραβιάζουν αυτούς τους ιστότοπους για να προσφέρουν ransomware σε επισκέπτες που εμπιστεύονται το περιεχόμενο του ιστότοπου.
Κοινωνική μηχανική: Οι εγκληματίες του κυβερνοχώρου ενδέχεται να χρησιμοποιήσουν τακτικές κοινωνικής μηχανικής για να εξαπατήσουν τους χρήστες να κατεβάσουν και να εκτελέσουν ransomware. Για παράδειγμα, μπορεί να παρουσιάζονται ως προσωπικό τεχνικής υποστήριξης ή να χρησιμοποιούν τακτικές εκφοβισμού για να πείσουν τα θύματα να εγκαταστήσουν κακόβουλο λογισμικό.

Μέχρι το Zaib

September 27, 2023

Ransomware

Ελληνικά