Η SULINFORMATICA Ransomware επιχειρεί διπλό εκβιασμό

Οι ερευνητές μας βρήκαν το SULINFORMATICA, έναν τύπο ransomware, κατά τη διάρκεια μιας τακτικής εξέτασης νέων υποβολών αρχείων. Αυτό το κακόβουλο λογισμικό έχει σχεδιαστεί ειδικά για να κρυπτογραφεί δεδομένα και να απαιτεί πληρωμή για την αποκρυπτογράφηση του.

Μετά τη δοκιμή του SULINFORMATICA στο σύστημα αξιολόγησής μας, προχώρησε στην κρυπτογράφηση αρχείων και πρόσθεσε μια επέκταση ".aes" στα ονόματα των αρχείων τους. Για παράδειγμα, ένα αρχείο που αρχικά ονομαζόταν "1.jpg" μετατράπηκε σε "1.jpg.aes" και το "2.png" έγινε "2.png.aes" και ούτω καθεξής.

Μόλις ολοκληρώθηκε η διαδικασία κρυπτογράφησης, δημιουργήθηκε ένα μήνυμα λύτρων με το όνομα "Instruction.txt". Από το κείμενο μέσα σε αυτό το μήνυμα, γίνεται προφανές ότι αυτό το ransomware στοχεύει κυρίως επιχειρήσεις και όχι μεμονωμένους χρήστες. Η SULINFORMATICA εφαρμόζει επίσης μια στρατηγική διπλού εκβιασμού.

Το σημείωμα λύτρων από τη SULINFORMATICA ειδοποιεί το θύμα ότι το δίκτυο της εταιρείας τους έχει παραβιαστεί. Κατά τη διάρκεια της επίθεσης, τα αρχεία του θύματος ήταν κρυπτογραφημένα. Το μήνυμα καθησυχάζει ότι η πλήρης ανάκτηση είναι εφικτή μέσω αποκρυπτογράφησης. Επιπλέον, προειδοποιεί ότι έχουν κλαπεί ζωτικής σημασίας βάσεις δεδομένων, έγγραφα και άλλα αρχεία από το δίκτυο.

Το θύμα ενθαρρύνεται έντονα να ξεκινήσει τις διαπραγματεύσεις αμέσως. Η αποτυχία επαφής με τους επιτιθέμενους εντός 24 ωρών θα έχει αρνητικό αντίκτυπο στη διαδικασία διαπραγμάτευσης. Το μήνυμα υποδηλώνει ότι η μη συμμόρφωση με τις απαιτήσεις των κυβερνοεγκληματιών δεν θα έχει μόνο ως αποτέλεσμα μόνιμα απρόσιτα αρχεία αλλά και στην αποκάλυψη των κλεμμένων εταιρικών δεδομένων.

Πλήρης σημείωση λύτρων SULINFORMATICA

Το πλήρες κείμενο του σημειώματος λύτρων SULINFORMATICA έχει ως εξής:

Hello. I SULINFORMATICA. Your infrastructure has been hit and all files are encrypted. Be warned - this is complex multi-threaded encryption. All your files are intact, they will be fully accessible after decryption. All important files/documents/databases have been downloaded from your network. They are securely hidden and stored in order to further work with your company data. We suggest that you start negotiations to resolve the situation. You can get all the information on decryption at the contacts listed below. You can get all the information on the company's data and return it to you / or remove it from public access at the contacts listed below. We also inform you that every 24 hours delays will worsen the negotiating position. Contact us as soon as possible, we are ready to help and waiting for you. SULINFORMATICA@proton.me brazil-sulin@tutanota.com Or qTox messenger (available 24/7): (alphanumeric string)

Γιατί οι ηθοποιοί Ransomware χρησιμοποιούν διπλό εκβιασμό;

Οι φορείς ransomware χρησιμοποιούν τακτικές διπλού εκβιασμού για διάφορους στρατηγικούς λόγους:

• Αυξημένη μόχλευση: Ο διπλός εκβιασμός παρέχει στους χειριστές ransomware μεγαλύτερη μόχλευση έναντι των θυμάτων τους. Εκτός από την κρυπτογράφηση των δεδομένων του θύματος, απειλούν επίσης να κοινοποιήσουν ευαίσθητες ή εμπιστευτικές πληροφορίες στο κοινό, προκαλώντας δυνητικά σημαντική βλάβη στη φήμη, την οικονομική σταθερότητα ή τη νομική υπόσταση του θύματος. Αυτή η επιπρόσθετη απειλή κάνει τα θύματα πιο διατεθειμένα να πληρώσουν γρήγορα τα λύτρα.
• Διαφοροποίηση εισοδήματος: Με την κλοπή δεδομένων και την απαίτηση πληρωμής όχι μόνο για την αποκρυπτογράφηση αλλά και για τη μη αποκάλυψη κλεμμένων πληροφοριών, οι φορείς ransomware μπορούν να διαφοροποιήσουν τις ροές εισοδήματός τους. Αυτό τους επιτρέπει να αποσπούν χρήματα από θύματα που μπορεί να είναι απρόθυμα να πληρώσουν λύτρα για την ανάκτηση δεδομένων, αλλά είναι πρόθυμα να πληρώσουν για να αποτρέψουν την έκθεση ευαίσθητων δεδομένων.
• Ενισχυμένη πίεση: Ο διπλός εκβιασμός δημιουργεί πρόσθετη πίεση στα θύματα για να ικανοποιήσουν τις απαιτήσεις των επιτιθέμενων. Τα θύματα αντιμετωπίζουν την προοπτική όχι μόνο να χάσουν την πρόσβαση στα δεδομένα τους αλλά και να αντιμετωπίσουν τις συνέπειες από τις διαρροές δεδομένων, συμπεριλαμβανομένων των πιθανών νομικών και κανονιστικών συνεπειών. Αυτή η πρόσθετη πίεση μπορεί να ωθήσει τα θύματα να λάβουν ταχύτερες αποφάσεις σχετικά με την πληρωμή των λύτρων.
• Προσαρμογή σε αμυντικά μέτρα: Καθώς οι οργανισμοί βελτιώνουν την άμυνα στον κυβερνοχώρο, οι φορείς ransomware έχουν αναζητήσει νέες τακτικές για να ξεπεράσουν αυτά τα εμπόδια. Ο διπλός εκβιασμός είναι μια τέτοια προσαρμογή, καθώς εκμεταλλεύεται το γεγονός ότι ακόμη και καλά προστατευμένοι οργανισμοί ενδέχεται να μην είναι σε θέση να αποτρέψουν την κλοπή δεδομένων κατά τη διάρκεια μιας επίθεσης ransomware.
• Αυξημένη κερδοφορία: Οι επιθέσεις διπλού εκβιασμού μπορεί να είναι πιο κερδοφόρες για ομάδες ransomware. Μπορούν να απαιτήσουν υψηλότερο ποσό λύτρων επειδή προσφέρουν τόσο κλειδιά αποκρυπτογράφησης όσο και τη διαβεβαίωση ότι τα κλεμμένα δεδομένα δεν θα αποκαλυφθούν. Αυτό δυνητικά έχει ως αποτέλεσμα μεγαλύτερες πληρωμές από τα θύματα.