TZW je najnovija verzija Adhubllke, koja je aktivna od 2019. godine, ali je uglavnom ostala neprijavljena zbog nižih zahtjeva za otkupninom.
Istraživači su identifikovali novu vrstu ransomware-a koji datira još od 2019. godine i cilja na pojedince i mala preduzeća, zahtijevajući male otkupnine od svakog klijenta, a ne milionske iznose koje traže tipični hakeri ransomware-a.
TZW je najnoviji soj porodice Adhubllka ransomware-a, koji se prvi put pojavio u januaru 2020. godine, ali je već bio aktivan godinu dana ranije, otkrili su istraživači iz firme za sigurnosnu i operativnu analitiku Netenrich u postu na blogu objavljenom ove sedmice.
Još važniji od otkrića soja je proces koji su istraživači preduzeli kako bi ga ispravno identifikovali. Tokom godina, mnogi uzorci Adhubllke su pogrešno klasifikovani i/ili pogrešno označeni u neku drugu porodicu ransomware-a, kaže Rakesh Krishnan, viši analitičar prijetnji u Netenrichu.
“Ovo bi zbunilo lovce na prijetnje/sigurnosne istraživače prilikom izrade izvještaja o incidentu”, kaže on. Zaista, istraživači izvještavaju da je više engine-a ranije otkrilo TZW, ali je u uzorku pronašlo tragove drugog malware-a, kao što je CryptoLocker.
Nadalje, druga imena su već bila dodijeljena istom komadu, uključujući ReadMe, MMM, MME, GlobeImposter2.0 , koji svi zapravo pripadaju porodici Adhubllka ransomware-a. Sva ova zbrka zahtijevala je dalje kopanje po genealogiji soja ransomware-a kako bi se on identifikovao s pravilnom atribucijom, kaže Krishnan.
“Ovo istraživanje takođe baca svjetlo na praćenje porodice ransomware-a do njegovog porijekla koristeći komunikacijske kanale [hakera] i druga sredstva,” uključujući kontakt e-poštu, poruke o otkupnini i metodu izvršenja, što je sve igralo vitalnu ulogu u analizi, dodaje on.
Racking Adhubllka
Adhubllka je prvi put privukla više pažnje u januaru 2020. godine, ali je bila “veoma aktivna” prethodne godine, napomenuli su istraživači. Grupa prijetnji TA547 koristila je Adhubllka varijante u svojim kampanjama koje su ciljale različite sektore Australije 2020.
Ključni razlog zašto je istraživačima bilo tako teško identifikovati TZW kao spinoff Adhubllke su mali zahtjevi za otkupninom koje grupa obično postavlja – 800 do 1.600 dolara. Na tom niskom nivou, žrtve često plaćaju napadačima, a napadači nastavljaju da rade ispod radara.
“Ovaj ransomware, kao i drugi, se isporučuje putem phishing kampanja, ali jedinstvenost je u tome što ciljaju samo na pojedince i male kompanije, pa stoga neće napraviti veliku vijest na medijskom kanalu”, kaže Krishnan. “Međutim, to ne znači da [Adhubllka] neće rasti u narednom vremenu, jer su već izvršili neophodna ažuriranja svoje infrastrukture.”
Zapravo, u budućnosti, istraživači predviđaju da bi ovaj ransomware mogao biti rebrendiran drugim imenima; druge grupe ga također mogu koristiti za pokretanje vlastitih ransomware kampanja.
“Međutim, sve dok haker ne promijeni način komunikacije, moći ćemo pratiti sve takve slučajeve do porodice Adhubllka”, kaže Krishnan.
Ključevi za identifikaciju
Zaista, ključ koji su istraživači koristili da povezuju najnoviju kampanju sa Adhubllkom bio je praćenje prethodno povezanih Tor domena koje je koristio haker, pri čemu je tim otkrivao tragove unutar poruke o otkupnini dostavljenoj žrtvama kako bi pratili trag do izvora.
U poruci, haker traži od žrtava da komuniciraju putem portala žrtava baziranog na Tor-u kako bi dobili ključeve za dešifrovanje nakon plaćanja otkupnine. U poruci je navedeno da je grupa promijenila svoj komunikacijski kanal iz v2 Tor Onion URL-ova u v3 Tor URL-ove, “jer je Tor zajednica zastarjela v2 Onion domene”, navodi se u objavi.
Nadalje, dodatna rečenica u poruci — „server sa vašim dešifratorom je u zatvorenoj mreži Tor“ — viđena je samo u dvije nove Adhubllka varijante: TZW i U2K, prema istraživačima, što je dodatno suzilo atribuciju.
Drugi tragovi koji su jasno ukazivali na najnoviju varijantu Adhubllke bili su upotreba adrese e-pošte [email protected] u kampanji, za koju se naširoko navodi da pripada grupi ransomware-a, i njena veza sa MD5 varijantnim uzorkom Adhubllke uočenog 2019. godine.
Sveukupno istraživanje pokazuje kako je ransomware pažljivo kreiran kako bi lovce na prijetnje izbacio sa traga sajber kriminalaca, pojačavajući važnost odbrane od napada postavljanjem endpoint sigurnosnog rješenja, kaže Krishnan.
“Međutim, kada je ransomware novoformiran/kodiran, može se spriječiti samo osnovnim sigurnosnim obrazovanjem, kao što je neklikanje na maliciozne veze dostavljene putem e-pošte”, kaže on.
Zaista, najvažnija zaštita za organizacije leži u sprječavanju ransomware- a da uđe u okruženje, “što znači traženje anomalija u ponašanju, eskalaciju privilegija i uvođenje sumnjivih prijenosnih medija u okruženje”, dodaje Krishnan.
Izvor: DarkReading
