SULINFORMATICA Ransomware forsøk på dobbel utpressing

Våre forskere kom over SULINFORMATICA, en type løsepengevare, under en rutinemessig undersøkelse av nye filinnsendinger. Denne ondsinnede programvaren er spesielt laget for å kryptere data og kreve betaling for dekrypteringen.

Etter å ha testet SULINFORMATICA på vårt evalueringssystem, fortsatte det å kryptere filer og la til en ".aes"-utvidelse til filnavnene deres. For eksempel ble en fil opprinnelig kalt "1.jpg" transformert til "1.jpg.aes," og "2.png" ble til "2.png.aes," og så videre.

Når krypteringsprosessen var avsluttet, ble det generert en løsepengemelding kalt "Instruction.txt". Fra teksten i denne meldingen blir det tydelig at denne løsepengevaren primært retter seg mot bedrifter i stedet for individuelle brukere. SULINFORMATICA bruker også en dobbel utpressingsstrategi.

Løsepengene fra SULINFORMATICA varsler offeret om at selskapets nettverk er kompromittert. Under angrepet ble offerets filer kryptert. Meldingen forsikrer at fullstendig gjenoppretting er mulig gjennom dekryptering. Videre advarer den om at viktige databaser, dokumenter og andre filer ble stjålet fra nettverket.

Offeret oppfordres sterkt til å innlede forhandlinger omgående. Å unnlate å etablere kontakt med angriperne innen 24 timer vil ha en skadelig innvirkning på forhandlingsprosessen. Meldingen antyder at manglende etterlevelse av nettkriminelles krav ikke bare vil resultere i permanent utilgjengelige filer, men også i avsløring av stjålne selskapsdata.

SULINFORMATICA Løsepengenotat i sin helhet

Den fullstendige teksten til SULINFORMATICA løsepengenota lyder som følger:

Hello. I SULINFORMATICA. Your infrastructure has been hit and all files are encrypted. Be warned - this is complex multi-threaded encryption. All your files are intact, they will be fully accessible after decryption. All important files/documents/databases have been downloaded from your network. They are securely hidden and stored in order to further work with your company data. We suggest that you start negotiations to resolve the situation. You can get all the information on decryption at the contacts listed below. You can get all the information on the company's data and return it to you / or remove it from public access at the contacts listed below. We also inform you that every 24 hours delays will worsen the negotiating position. Contact us as soon as possible, we are ready to help and waiting for you. SULINFORMATICA@proton.me brazil-sulin@tutanota.com Or qTox messenger (available 24/7): (alphanumeric string)

Hvorfor bruker ransomware-aktører dobbel utpressing?

Ransomware-aktører bruker dobbel utpressingstaktikk av flere strategiske årsaker:

• Økt innflytelse: Dobbel utpressing gir løsepengevareoperatører større innflytelse over ofrene sine. I tillegg til å kryptere offerets data, truer de også med å frigi sensitiv eller konfidensiell informasjon til offentligheten, noe som potensielt kan forårsake betydelig skade på offerets omdømme, økonomiske stabilitet eller juridiske status. Denne ekstra trusselen gjør ofrene mer tilbøyelige til å betale løsepenger raskt.
• Diversifisering av inntekt: Ved å stjele data og kreve betaling ikke bare for dekryptering, men også for ikke-avsløring av stjålet informasjon, kan løsepengevareaktører diversifisere inntektsstrømmene sine. Dette lar dem trekke ut penger fra ofre som kan være motvillige til å betale løsepenger for datagjenoppretting, men som er villige til å betale for å forhindre eksponering av sensitive data.
• Forbedret press: Dobbel utpressing skaper ekstra press på ofrene for å møte angripernes krav. Ofre står overfor utsiktene til ikke bare å miste tilgang til dataene sine, men også å håndtere nedfallet fra datalekkasjer, inkludert potensielle juridiske og regulatoriske konsekvenser. Dette ekstra presset kan presse ofrene til å ta raskere beslutninger om å betale løsepenger.
• Tilpasning til defensive tiltak: Etter hvert som organisasjoner forbedrer sitt cybersikkerhetsforsvar, har løsepengevareaktører søkt nye taktikker for å overvinne disse hindringene. Dobbel utpressing er en slik tilpasning, siden den utnytter det faktum at selv godt beskyttede organisasjoner kanskje ikke kan forhindre datatyveri under et løsepengeprogram.
• Økt lønnsomhet: Doble utpressingsangrep kan være mer lønnsomme for løsepengevaregrupper. De kan kreve et høyere løsepengebeløp fordi de tilbyr både dekrypteringsnøkler og forsikringen om at stjålne data ikke vil bli avslørt. Dette resulterer potensielt i større utbetalinger fra ofre.