Matrix, en ransomware stamme første gang set i slutningen af 2016, har udviklet sig til en farlig trussel, efter år af langsomme og trinvise opdateringer og er for nylig blevet karakteriseret som en “schweizerkniv” i en rapport, der blev offentliggjort i dag via UK-baserede it-sikkerhedsfirma Sophos.
Mens det i begyndelsen, Matrix forfattere brugte RIG exploit kit til masse-distribuere deres ransomware i sine tidlige dage, i 2016 og 2017, siden begyndelsen af 2018, den ransomware er udelukkende spredt i angreb mod nøje udvalgte high-value targets, som regel ved at tage fordel af ubeskyttet RDP (Remote Desktop Protocol) endepunkter.
I denne Matrix bande, der blev fulgt på en tendens i ransomware verden, hvor e-mail eller exploit kit-baseret masse distribution kampagner døde ud i 2018, hvilket giver i til operationer, der foretrak at gå efter individuelle mål i ensom angreb, der udnytter RDP.
Med andre ord, Matrix er nu i samme kategori af ransomware stammer, som de mere berømte SamSam, BitPaymer, og Ryuk –ved hjælp af hackede RDP endpoints til at indtaste virksomhedernes netværk og inficere så mange Pc ‘ er som muligt, før du stiller for store krav om løsepenge.
Forskellen er, at Matrix er ikke blevet indsat eller inficeret med den samme mængde af ofre, som de førnævnte, for dette er en af grundene til, at meget få kender til det, bortset fra den lille kreds af malware analytikere.
Gennem de seneste par år, Sophos siger, at det kun konstateret 96 prøver af Matrix ransomware i det vilde, ransomware modtager konstant tweaks og opgraderinger, som tiden gik.
“Mens den malware har været under konstant udvikling og forbedring, mens vi har været overvågning af det, forfatterne eller operatører af denne malware ikke ud til at opføre sig professionelt som, ved sammenligning, SamSam bande,” sagde Luca Nagy af Sophos Labs team.
“De har gjort hyppige fejl undervejs, hvoraf nogle er blevet rettet, og andre funktioner, som er implementeret derefter opgivet,” Nagy sagde. “De gør ikke altid anvender de nødvendige operationelle sikkerhed, som kan være årsag til deres endelige undergang.”
Men selv så sjusket som Matrix-udviklere kan være, de har langsomt bygget en smuk feature-rige ransomware stamme.
“Nyere varianter af Matrix, der indeholder deres egen evne til at scanne det lokale netværk, hvor de befinder sig,” Nagy sagde. “Disse selvstændige ‘schweizerkniv’ ransomware programmer kan bruge denne funktionalitet til at finde andre potentielle ofre computere på det lokale netværk].”
Når Matrix-banden er inficeret, og krypterede filer på alle de computere, det kunne de normale modus operandi er at efterlade en løsesum venligst en e-mail-adresse bag, hvor ofre kan nå ud og forhandle om en løsesum gebyr. Ifølge Sophos, løsepenge den normale pris er normalt omkring $3,500, der er betalt i Bitcoin, men beløb, der kan gå op, hvis ofre vise tegn på at være desperat for at gendanne filer.
Mens der i de foregående år, retshåndhævelse i USA og UK har advaret om, private virksomheder og offentlige instanser om trusler, som SamSam, BitPaymer, og Ryuk gennem akut sikkerhedsadvarsler, der har ikke været nogen FBI, DHS, eller NCSC indberetninger om Matrix.
Ifølge Sophos, det er fordi Matrix har ikke primært fokuseret på USA og STORBRITANNIEN, ligesom andre RDP-fokuseret ransomware bander, men har inficeret ofre over hele kloden, at tage hvad det nu kunne finde.
Sophos siger, at det opdaget Matrix-infektioner i USA (27,7%), Belgien (16,7 procent), Taiwan, Singapore, Tyskland, Brasilien, Chile, Sydafrika, Canada og STORBRITANNIEN.
Ligesom de fleste ransomware stammer, Matrix undgår man også at inficere computere, der bruger sprog, der tales i den tidligere Sovjet-plads. Dette tyder på, at ransomware gang er enten beliggende i et af disse lande, eller de er leje Matrix på russisk-talende hacking fora, som mandat at malware, der sælges på deres platform, og ikke inficere russiske brugere.
Se, at Sophos har nævnt, at den Matrix bande har lavet flere operationelle sikkerhed (OpSec) fejl i tidligere varianter, vi stadig kan se den dag, da denne gruppe er opladet, og kan blive bragt for en domstol.
Alt i alt, Matrix har langsomt tøffede sammen fra en ydmyg og dårligt udviklede ransomware stamme til en af de største trusler på ransomware scene i dag, sammen med SamSam, BitPaymer, Ryuk, Dharma, og GandCrab.
Mere ransomware dækning:
Ny ransomware stamme er at låse op Bitcoin mining rigge i ChinaRansomware: executive-guide til en af de største trudsler om webRansomware advarsel: Dette phishing-kampagne, der leverer nye malware variantsMoscow ‘ s nye cable car system er inficeret med ransomware to dage efter lanceringen
SamSam ransomware er skabt af Iranske hackere, siger OS DoJWannaCry ransomware krise, et år onRansomware angreb rammer Port of San Diego CNET
Ransomware: Et cheat sheet for fagfolk, TechRepublic
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre