В началото на този месец ви съобщихме, че една от актуалните рансъмуер групи днес – тази на Maze – се оттегля от престъпната сцена, но друга групировка зае мястото ѝ с изключителна бързина.
Появила се през май миналата година, Maze бързо се превръща във фактор в криминалния свят. За нейния успех помагат това, че групировката има стройна в йерархично отношение група от лица с висока техническа експертиза, изграждат сложна инфраструктура, следват успешен бизнес модел и активно си сътрудничат с други представители на онлайн ъндърграунда. Споменатият бизнес модел е „рансъмуер като услуга“ схемата, при която хората зад Maze отдават своите услуги и код „под наем“ на киберпрестъпници с по-малки възможности срещу дял от спечеленото от техните жертви. Това способства за по-големия брой цели, които биват атакувани. Отделно от това, този метод осигурява на истинските престъпници сигурност и анонимност, гарантираща, че те няма да бъдат заловени. Самата зловредна програма осигурява високи степени на криптиране на данните и умело скриване на присъствието си от системите за сигурност. Що се отнася до комуникацията с други киберпрестъпни групи в даркуеб пространството, днес то е структурирано, така че всички участници в него да печелят без да си пречат. Така, престъпници, занимаващи се само с кражбата и продажбата на записи за вписване в различни услуги, мрежи, бази данни, активни директории и др. предоставят откраднатото на групи като тази на Maze, които получили достъп до мрежата на корпорация или предприятие, инсталират зловреден код. И не последно място, Maze следват актуалния модел на „двойното изнудване“ при рансъмуер групите – освен, че криптират информацията, те извличат чувствителни данни от нея и заплашват жертвата да ги публикуват онлайн. И разбира се, те следват и другата важна тенденция тук – промяна от безразборните спам кампании към целенасочени, добре подготвяни атаки към големи компании.
В началото на ноември обаче Maze обявиха официалното си оттегляне от криминалните структури. Още тогава се появи информация, че много от клиентите на Maze се прехвърлят към друга, по това време неизвестна група с името Egregor. Те станаха известни с атаката си към големия американски издател Barnes & Noble, както и с такава към японското гейм студио Capcom. По данни на Digital Shadows, цитирана от Infosecurity Magazine, Egregor са в основата и над атаките над други две известни игрови компании – Crytek и Ubisoft.
Оказва се, че групата е активна от септември тази година, като е започнала с компрометирането на сигурността на 15 жертви. През октомври, успешните им набези бележат ръст от 240% или 51 организации, паднали под ударите им. До 17-ти този месец, съобщават Digital Shadows, те добавят още 21 жертви, като голяма част (38%) от целите им идват от секторите за услуги и индустриални стоки, като 83% са бизнеси, базирани в Щатите. Компанията прави и инспекция на основната зловредна програма на Egregor, отбелязвайки сложните механизми в нея, които я предпазват от анализ. „По-специално, Egregor използват апликационно-програмните интерфейси на Windows, за да криптират основния зловреден код на програмата. И ако екипите по сигурност не успеят да представят точните аргументи в командния ред, информацията не може да бъде декриптирана, а зловредната програма – анализирана. „При коректно представяне на тези аргументи, програмата се изпълнява като се инжектира в процеса iexplore.exe, криптира всички текстове и документи и поставя бележка с искането на откуп във всяка папка, в която се намира критпиран файл. Процесът включва файлове, които са разположени на отдалечени машини и сървъри чрез проверки в записа за събития от LogMeIn“, посочва в доклада си Digital Shadows.
