Thanos Ransomware: Μεταδίδεται παρακάμπτοντας τα υφιστάμενα μέτρα προστασίας

Το Thanos Ransomware είναι το πρώτο κακόβουλο λογισμικό που χρησιμοποιεί την τεχνική αποφυγής RIPlace καθώς και άλλα προηγμένα χαρακτηριστικά, που το καθιστούν μια πολύ σοβαρή απειλή.

Πρωτοεμφανίστηκε τον Οκτώβριο του 2019, αλλά μόλις τον Ιανουάριο του 2020, τα πρώτα θύματα άρχισαν να ζητούν βοήθεια για το "Quimera Ransomware", όπως τότε ονομάστηκε. Τα θύματα συνέχισαν να ψάχνουν για βοήθεια στα forums για το ίδιο Ransomware που πλέον είχε την ονομασία "Hakbit".

Σε νέο report του Recorded Future, γίνεται εκτενής αναφορά στο συγκεκριμένο Ransomware με την ονομασία "Thanos" το οποίο προωθείται ως υπηρεσία Ransomware-as-a-Service (RaaS) σε forums Ρώσων hackers από τον Φεβρουάριο του 2020.

Το κακόβουλο λογισμικό Thanos χρησιμοποιεί τους διανομείς malware για τη μετάδοσή του. Για να το πράξουν, οι διανομείς malware θα λάβουν μέρος των εσόδων, το οποίο συνήθως κυμαίνεται από 60% έως 70% από τις πληρωμές λύτρων που πληρώνουν τα θύματα.

Το "Thanos" περιέχει ένα ενσωματωμένο μη κρυπτογραφημένο αρχείο κλοπής που έχει τη δυνατότητα αυτόματης εξάπλωσης σε συσκευές.

Πρώτη φορά χρήση RIPlace anti-ransomware

Τον Νοέμβριο του 2019 αναφέρθηκε μια νέα τεχνική αποφυγής anti-ransomware που ονομάζεται RIPlace, η οποία ανακαλύφθηκε από τους ερευνητές ασφαλείας στην εταιρεία προστασίας δεδομένων Nyotron.

Η Nyotron ανακάλυψε ότι όταν το ransomware μετονομάζει ένα αρχείο με μια συνάρτηση, το λογισμικό anti-ransomware δεν μπορεί να ανιχνεύσει με ακρίβεια τη λειτουργία του αρχείου.

Ενσωματωμένη κλοπή αρχείων και αυτόματη εξάπλωση

Οι hackers, μέσω του λογισμικού απειλούν να διαρρεύσουν τα κλεμμένα αρχεία εάν δεν καταβληθούν τα απαιτούμενα λύτρα. Αυτή η κλοπή αρχείων γίνεται συνήθως μέσω αντιγράφων ασφαλείας cloud μιας εταιρείας ή μέσω της μη αυτόματης αντιγραφής αρχείων σε απομακρυσμένη τοποθεσία. Σε ένα άρθρο της Recorded Future, αναφέρεται ότι τα αρχεία που μπορούν να κλαπούν από προεπιλογή είναι '.docx', '.xlsx', '.pdf' και '.csv', αλλά και άλλες επεκτάσεις αρχείων.

Εκτός από την ενσωματωμένη κλοπή αρχείων, το Thanos περιλαμβάνει επίσης τη δυνατότητα διάδοσης  του ransomware ταυτόχρονα και σε άλλες συσκευές του δικτύου. Αυτό έχει καταστροφικές συνέπειες ειδικά εάν ο χρήστης είναι διαχειριστής πολλών δικαιωμάτων.

Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν ολοένα και περισσότερο προηγμένες μεθόδους για να εφαρμόσουν τεχνικές επιθέσεις που είναι μη εντοπίσιμες και δύσκολες να εξουδετερωθούν. Επομένως, κρίνεται απαραίτητο λόγω των συνεχών εξελίξεων σε θέματα ασφαλείας, ο χρήστης να είναι συνεχώς ενημερωμένος για τον τρόπο διάδοσης των νέων απειλών.

Contact