Noll
En ny ransomware variant som gör vågor i den Mörka Webben, Kraken Cryptor, har nu lagts till Fallout-exploit-kit.
Forskningssamarbete bedrivs av Insikt Grupp och McAfee, med hjälp av Inspelade Framtiden, har visat att införandet av skadlig kod i exploit kit som den senaste utvecklingen i ransomware försäljning och marknadsföring push.
Kraken Cryptor-inte att förväxla med den Kraken ransomware som var först ut i år 2016, är ett nytt ransomware-as-a-service (RaaS) program som sågs i augusti i år.
Bara en månad efter sin debut i en rysktalande underground forum, skadlig kod dök upp på SuperAntiSpyware webbplats, maskerad som en äkta anti-spyware program och infekterar användare som försökt att ladda ner lagliga SuperAntiSpyware programvara.
Kraken Cryptor är en form av ransomware som sprider sig genom det typiska för skräppost och phishing-kampanj vektorer men kommunicerar med sina offer via e-post snarare än genom en vanlig kommando-och-kontroll (C2) setup.
Detta minskar risken för exponering och stängning av brottsbekämpande myndigheter, eftersom det inte finns någon tillgänglig, central panel används som detaljer ransomware verksamhet eller offer.
Den senaste versionen av 32-bitars ransomware, v. 2.0.7 — så som det beskrivs av operatören i ett inlägg i ett forum — kan arbeta online och offline. Skrivet i C#, Kraken Cryptor primärt mål Windows 8 8.1, och 10 operativsystem, använder AES-128/256 kryptering och andra chiffer och kan kryptera både hårddiskar och delade lagringsenheter i ett nätverk.
CNET: MacBook Air 2018 lägger Touch-ID och får en ny security chip
Den ransomware också hämtar och kör ett program som skriver över allt ledigt utrymme på en infekterad enhet med nollor, vilket gör att återhämtningen är långt svårare, och inaktiverar återhämtning boot alternativ.
Utvecklaren bakom ransomware går under namnet ThisWasKraken. Betald medlem — som, generellt sett, är mer missnöjda än ett gratis konto som utfärdats till framstående personer i den underjordiska — distribuerar skadlig kod genom ett affiliate program.
Det tror utvecklaren kan vara en del av ett team som kan vara baserade i länder, bland annat Iran, Brasilien, och forna sovjetblocket områden.
I gengäld för att få tillgång till den ransomware-as-a-service (RaaS) produkt, användare betalar en procent av sina illegala inkomster till utvecklare. För att trumma upp mer intresse, hot aktörer bakom Kraken Cryptor har nyligen sänkt sin vinstmarginal från 25 procent till 20 procent.
Bitcoin är den enda virtuella valuta för närvarande som är godkänt för utpressning betalningar. Forskarna säger att ett online-spel webbplats, BitcoinPenguin, har valts som den “primära penningtvätt kanal.”
TechRepublic: Cybersäkerhet nr. 1 utmaning för CXOs, men bara 39% har en strategi försvar
“Även om det inte ovanligt, det är fortfarande mycket ovanligt att kriminella aktörer, särskilt ransomware operatörer — att avvika från mer traditionella cryptocurrency värmeväxlare när penningtvätt stulna medel,” forskarna notera. “Det är troligt att en av de avgörande faktorerna för detta ovanliga val berodde på det faktum att BitcoinPenguin inte kräver någon id-kontroll av dess medlemmar, som tillåter vem som helst att upprätthålla en anonym cryptocurrency plånbok det.”
Malware är nu som levereras genom Nedfall utnyttja kit som har varit ansluten till fördelningen av Gandcrab ransomware under de senaste månaderna.
Forum meddelanden postat av ThisWasKraken tyder på att tillsammans med affiliate program och tillägg av exploit kit som en infektion vektor, hot aktörer finns också att köpa kapat Internet-trafik.
Se även: Noll dagar, fileless attacker är nu en av de farligaste hoten till företaget
Det finns en twist när det kommer till offer, dock.
På samma sätt som Gandcrab aktörer, som hade en förändring av hjärtat när det kom till utpressning offer i det krigshärjade Syrien, den Kraken Cryptor RaaS kommer inte att tillåta mål i länder som Syrien, Brasilien, Iran, Armenien, bland andra länder-många av dem är i före detta Sovjetunionen.
“Det finns en lista över länder som inte är tillåtna att vara riktade anger att de är medlemmar i detta möjligt internationella hackar gruppen får bosätta sig i dessa länder,” säger. “Ett sådant beteende brukar anses som en säkerhet steg med de kriminella som inte vill vara sökte med lokala brottsbekämpande organ.”
Affiliate program, exploit kits och lockande ‘licensiering’ erbjudanden för ransomware som har alla varit etablerade på bara ett par månader tyder på att detta är ett hot som är en att titta på i it-relaterad brottslighet utrymme.
Tidigare och relaterade täckning
Phorpiex mask svänger för att infektera företag med GandCrab ransomware Vad är ransomware? Allt du behöver veta om en av de största hot på webben Möta ransomware som sliter ansiktet av före detta president Barack Obama
Relaterade Ämnen:
Amazon
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0