Nul
En ny ransomware variant, som er at lave bølger i den Mørke Web, Kraken Cryptor, er nu blevet tilføjet til Nedfald exploit kit.
Samarbejdsbaseret forskning udført af Insikt Gruppe og McAfee, med bistand af en Registreret Fremtiden, har vist, at inddragelse af malware i exploitkit, som den seneste udvikling i ransomware salg og marketing, push.
Kraken Cryptor-ikke at forveksle med Kraken ransomware, som blev første gang uddelt i 2016-er en ny ransomware-as-a-service (RaaS) program, som blev spottet i August dette år.
Kun en måned efter sin debut i en russisk-talende underground forum, den malware, der optrådte på SuperAntiSpyware websted, forklædt som en ægte anti-spyware program, og inficerer brugere, der forsøgte at hente legitime SuperAntiSpyware software.
Kraken Cryptor er en form for ransomware, som spreder sig gennem den typiske spam-og phishing-kampagne vektorer, men kommunikerer med sine ofre via e-mail i stedet for via en standard command-and-control (C2) opsætning.
Dette reducerer risikoen for eksponering og lukning af lov håndhævelse, da der ikke er nogen tilgængelige, centrale panel i brug, som beskriver de ransomware ‘ s aktiviteter eller ofre.
Den nyeste version af 32-bit ransomware, v. 2.0.7-som beskrevet af operatøren i et forum-indlæg — er i stand til at arbejde on-og offline. Skrevet i C#, Kraken Cryptor primært rettet mod Windows 8, 8.1, og 10 operativsystemer, anvender AES-128/256 kryptering og andre cifre, og er i stand til at kryptere begge harddiske og delt storage enheder på et netværk.
CNET: MacBook Air 2018 tilføjer Touch-ID og får en ny security chip
Ransomware også downloads og udfører et værktøj, som overskriver alle gratis plads på en inficeret kørsel med nuller, hvilket gør genopretning langt hårdere, og deaktiverer den retablering boot option.
Udvikleren bag ransomware går under navnet ThisWasKraken. De betalte medlem — der generelt er mere mistillid end en gratis konto, der er udstedt til fremtrædende personligheder i den underjordiske — distribuerer malware gennem en affiliate program.
Det menes, at bygherren er potentielt en del af et team, der kunne være baseret i lande, herunder Iran, Brasilien og tidligere Sovjet-blok områder.
Til gengæld for adgang til ransomware-as-a-service (RaaS) produkt, brugerne betaler en procentdel af deres ulovlige indtægter til udviklerne. For at skaffe mere interesse, truslen aktører bag Kraken Cryptor har for nylig skåret deres profit margin fra 25 procent til 20 procent.
Bitcoin er den eneste virtuelle valuta på nuværende tidspunkt, som er accepteret for afpresning betalinger. Forskerne siger, at en online gambling websted, BitcoinPenguin, er blevet valgt som den “primære hvidvaskning af penge kanal.”
TechRepublic: Cybersecurity nr. 1 udfordring for CXOs, men kun 39% har et forsvar strategi
“Selvom det ikke er usædvanligt, at det stadig er meget ualmindeligt, at kriminelle aktører-især ransomware operatører — til at afvige fra mere traditionelle cryptocurrency vekslere, når hvidvaskning af stjålne penge”, bemærker forskerne. “Det er sandsynligt, at en af de afgørende faktorer for denne usædvanlige valg var på grund af det faktum, at BitcoinPenguin kræver ikke nogen bekræftelse af identitet, af dets medlemmer, så alle kan opretholde en anonym cryptocurrency tegnebogen der.”
Malware er nu, der bliver leveret gennem Nedfald exploitkit, som er sluttet til distribution af Gandcrab ransomware i de seneste måneder.
Forum indlæg indsendt af ThisWasKraken viser, at sammen med de affiliate-programmet og tilføjelse af exploit kit som en infektion vektor, truslen aktører er også at købe kapret Internet trafik.
Se også: Nul-dage, fileless angreb er nu den mest farlige trusler mod virksomheden
Der er et twist, når det kommer til ofre, men.
På samme måde som Gandcrab operatører, der havde en forandring i hjertet, når det kom til afpresning ofre i det krigshærgede Syrien, Kraken Cryptor RaaS vil ikke tillade, at mål i lande, herunder Syrien, Brasilien, Iran og Armenien, blandt andre lande-hvoraf mange er i den tidligere Sovjet-blok.
“Eksistensen af listen over lande, der ikke har tilladelse til at være målrettet indikerer, at medlemmerne af denne mulige internationale hacking gruppen kan opholde sig i disse nationer,” siger team. “En sådan adfærd er normalt betragtes som en sikkerhed trin af de kriminelle, der ikke ønsker at blive søgt af lokale retshåndhævende myndigheder.”
Affiliate programmer, exploit kits, og lokkende ‘licenser’ tilbud til ransomware, der alle er etableret i kun et par måneder tyder på, at dette er en trussel, der er at se i it-kriminalitet plads.
Tidligere og relaterede dækning
Phorpiex orm drejer til at inficere virksomheden med GandCrab ransomware, Hvad der er ransomware? Alt, hvad du behøver at vide om en af de største trusler på nettet Opfylde ransomware, som bærer lyset af den tidligere præsident Barack Obama
Relaterede Emner:
Amazon
Sikkerhed-TV
Data Management
CXO
Datacentre
0