GandCrab (eller bare Krabbe) ransomware afgjort ændret reglerne for ransomware spil.
Operatørerne bag den berygtede cryptovirus skabt en meget profiterer forretningsmodel, som andre hurtigt vedtaget. For eksempel, lad os få et kig på den såkaldte Sodinokibi ransomware.
Det viste velkoordinerede adfærd og distributionskampagner, og det var helt tydeligt, at dets operatører lånt en hel tricks fra GandCrab. Dette indikerede, at Sodinokibi kunne vokse så stor som GandCrab i form af angreb og varianter, har ført til vedtagelsen af mange affilierede.
Så, som hackere fremgik af GandCrab?
A ny rapport af Advanced Intelligence kaster lidt lys over ”GandCrab paradigme”.
Den allerførste bemærkelsesværdige forskel, der gjorde GandCrab iøjnefaldende er eksponeringen, et sandt tegn på en stigende forretningsmodel. "Før GandCrab, traditionelle ransomware hold, drives af russisktalende hackere handlede privat, stille, og undgået underjordiske fora,”Hedder det i rapporten. Dette blev gjort for anonymitet formål, som den russiske underjordiske samfund ikke gik sammen med den digitale afpresning model, der er centralt for ransomware udvikling.
Operatørerne af GandCrab gjorde præcis det modsatte ved at vælge at blive ”et paradigme-shifting fænomen":
De vendte ransomware forretning til et fuldgyldigt medier operation. Branding, markedsføring, opsøgende, og endda Public Relations (PR) manifesteret i kontinuerlige kommunikation med kunderne, søsterselskaber, ofre, og sikkerhedseksperter – alt var omhyggeligt sat til at etablere en ny type af ransomware virksomhed.
Men hvad gjorde GandCrab forandring?
For startere, den ransomware udvikleren(s) skabt deres egne velgørenhed kampagner og mikro-lån partnerskaber på tværs af fora.
Den cyberkriminalitet syndikat påvirkning var så stærk, at selv en anmeldelse Indsendt af deres officielle darkweb konti var nok til at ophøje eller slette en bestemt malware produkt udbydes til salg. Når nye læssere eller stealers blev frigivet, Det første spørgsmål, som højt profilerede medlemmer af undergrunden spurgte var: ”Er disse kompatibelt med”Krabbe?", mens mange eksklusive malware prøver, botnets, domæne adgange, netværk legitimationsoplysninger, og andre auktion runder blev lukket med beskeden ”solgt til GandCrab.”
Kort sagt, Krabbe ”opgav de gamle måder”Af kun at arbejde med erfarne søsterselskaber, og hilste nyankomne motiveret nok til at slutte sig til operationen. For mange, dette var deres første ransomware erfaring, men dette var ikke et problem, siden Krabbe s ransomware-as-a-service (Raas) programmer og affilierede partnerskaber blev bygget for at tjene den uerfarne. Til sidst, det "studerende”Af disse programmer startede deres egne små ventures, som bragte nye ideer til fundamentet.
Hvem deltog i Krabbe ransomware forretningsmodel?
Nogle af de mest succesfulde søsterselskaber inkluderer trussel skuespillere kendt af følgende øgenavne - ford, FloodService, venom, snefnug. Det er bemærkelsesværdigt, at hele ransomware kollektiver såsom jsworm og deres affilierede PenLat der står bag den JSworm og Nemty ransomware startet fra GandCrab. Nogle af de mest hengivne GandCrab tilhængere, herunder Lalartu kan have direkte bidraget til stigningen af Revil (Sodinokibi) Raas gruppe.
I marts i år, CrowdStrike forskere siger, at den kriminelle gruppe bag den berygtede GandCrab ransomware er tilnavnet Pinchy Spider.
Det er nysgerrige efter at bemærke, at programmet tilbød en 60-40 delt i overskud, med 60 procent tilbydes kunden. Men, banden var villig til at forhandle op til en 70-30 split for kunder, der betragtes som mere ”sofistikeret", siger forskerne.
GrandCrab 5.2, udgivet i februar, 2019 kom lige efter en dekryptering værktøj til den tidligere version optrådte til ofre. Ifølge CrowdStrike forskere, det "udvikling af selve ransomware er blevet kørt, delvis, af Pinchy edderkoppens interaktioner med cybersikkerhed forskningsverdenen. GandCrab indeholder flere henvisninger til medlemmer af forskningsmiljøet, som er både offentligt aktive på sociale medier og har rapporteret på ransomware".
På det tidspunkt, Pinchy Spider forbrydere var reklame GandCrab til personer med remote desktop protokol (RDP) og VNC (Virtual Network Computing) færdigheder, og spam operatører, der havde erfaring i virksomhedernes netværk.
Forskerne også et eksempel på en sådan reklame, som sagde følgende: "Spammere, arbejder med destinationssider og corporate networking specialister - gå ikke glip af din billet til et bedre liv. Vi venter på dig."
Fremkomsten af truniger kollektive
Det er underligt at bemærke, at en af de mest succesfulde hacker kollektiver, der opstod fra GandCrab dybder er TeamSnatch også kendt som truniger:
I begyndelsen af deres cyberkriminalitet karriere, truniger (som derefter henvist til sig selv i ental) var fascineret med kartning og e-skimming. Ifølge dem, de har startet med en sum penge stammer fra en legitim job, der blev investeret i den digitale økonomisk bedrageri infrastruktur. Denne kriminelle avenue, dog, hurtigt udmattet truniger midler og føre dem ind i økonomiske problemer. I forsøg på at undvige disse frygtelige omstændigheder, hackeren begyndte at undersøge Remote Desktop Protocol (RDP) sårbarheder, specifikt, brute-tvinger PUL at få adgang til forskellige databaser.
Denne vektor har vist sig at være mere effektiv og kort efter, truniger begyndte at undersøge forskellige måder at tjene penge de opnåede adgange. Ikke overraskende, den ransomware-as-a-service, model var et logisk næste skridt. Samlingen havde allerede erhvervet en vis erfaring og viden om ransomware, sårbarheder anti-virus, og bagdøre i lovlig software. De testede selv deres færdigheder i et partnerskab med Hurtig ransomware.
I august 2018, truniger hackere krypteret mere end 1,800 enheder, og blev til sidst bemærket af GandCrab. Kort fortalt, den truniger kollektive illustrerede, hvor hurtigt en aktør kan vokse ind i en velfungerende it-kriminalitet gruppe.
Startende fra mindre kartnings operationer, truniger udviklet med hjælp fra GandCrab Raas og selv skabt deres egen version af et ransomware program, forskerne konkluderede.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: