Check Point a depistat un nou ransomware ca serviciu în cyberworld: VanHelsing, care promovează un malware multiplatformă care vizează sistemele Microsoft Windows, Linux și VMware ESXi, printre altele. Dar până acum, doar mașinile Windows au căzut victime, ne anunță The Register.
Există o singură regulă – nu ataca Rusia.
Lansată pe 7 martie, această operațiune RaaS (Ransomware as a Service – ransomware de închiriat) a infectat deja trei organizații cu cereri de răscumpărare în valoare de 500.000 USD pentru o victimă. Analiza Check Point sugerează că VanHelsing este o tulpină de ransomware proaspăt dezvoltată, mai degrabă decât un rebranding rapid al codului malware existent.
Nou-veniții care doresc să încerce să răspândească ransomware și să infecteze victimele trebuie să obțină o depunere de 5.000 USD pentru a se alătura programului de afiliere VanHelsing, în timp ce infractorii cibernetici experimentați cu o reputație solidă pot sări peste taxa. Împărțirea plăților favorizează afiliații, care pun în buzunar 80% din plățile de răscumpărare, lăsând restul de 20% pentru operatorii RaaS. Depinde de afiliați să descopere cum să introducă malware-ul în rețeaua victimei, în principal e-mailuri și descărcări cu capcane.
Până acum, victimele lui VanHelsing au fost toate doar printre utilizatorii Windows, conform Check Point, în ciuda faptului că RaaS oferă suport multiplatformă, de la sistemul de operare Microsoft la BSD și inclusiv dispozitivele bazate pe Arm. Cercetătorii au analizat două mostre distincte de Windows compilate la cinci zile una de alta. Programul de afiliat oferă un panou de control conceput pentru a eficientiza infecțiile, coborând nivelul tehnic necesar pentru potențialii criminali cibernetici. Dezvoltarea este în mod clar în curs de desfășurare, cu mai multe caracteristici incomplete, comenzi neimplementate și actualizări rapide între versiunile observate.
„Ransomware-ul este cu adevărat nou”, a declarat Eli Smadja, managerul grupului de cercetare la Check Point, pentru The Register luni.
„De exemplu, au publicat primul anunț de creare a programului de afiliere pe 7 martie. Și apoi prima mostră pe care o vedem, a fost pe 11, iar pe 16 mai vedem una.
„În aproape 10 zile, am găsit două mostre de Windows și trei victime. În prezent, nu am văzut niciuna dintre celelalte, cum ar fi Linux sau alte sisteme, deșii au existat mențiuni că unii afiliați au testat și pentru acestea.”
Există o regulă in utilizarea acestui RaaS impusă afiliaților: interzicerea atingerii țintelor în Rusia și alte națiuni din Comunitatea Statelor Independente. Diverse bande de ransomware au acea linie roșie, au observat cercetătorii.
„Este greu de spus, dar, de obicei, aceștia operează pe teritoriul Rusiei”, ne-a spus Antonis Terefos, un inginer ce studiază malware la Check Point.
„Recent, au existat câteva scurgeri de informații de la grupurile afiliate Lockbit și chiar și afiliații din interiorul lor se tem că vor fi angajați de guvernul rus pentru a efectua diverse atacuri. A fost interesant de văzut din partea afiliaților”.
Într-adevăr, până în acest moment este evident că guvernul rus este dispus să închidă ochii la criminalii cibernetici care practică extorcarea organizațiile occidentale, dacă nu lucrează activ cu bandele de ransomware. Cooperare similară între stat și criminalitate cibernetică a fost observată și în China.
