RIPlace ransomware-bypass-teknik, opdaget af sikkerhedsforskere i november 2019, er nu implementeret af Thanos ransomware-familie.
Dette er det første tilfælde af RIPlace bruges af ransomware. Teknikken bygger på nogle få linjer kode til succes unddrage sig indbyggede ransomware beskyttelsesfunktioner, stede i sikkerhedsløsninger og Windows 10.
Thanos-tilknyttet program inkluderer nu RIPlace-omløb
Thanos ransomware har udviklet sig under ransomware-as-a-service-modellen, og har vundet popularitet på underjordiske fora. På trods af inkludering af denne bypass-teknik, ransomware viser ikke nogen ny eller sofistikeret opførsel. Men, Ransomwarens enkelhed er grunden til, at den vinder popularitet blandt cyberkriminelle.
Thanos-builder giver cybercrime-tilknyttede virksomheder mulighed for at oprette ransomware-klienter med forskellige muligheder, annonceret i sit Ransomware-tilknyttede program. Builderen tilbydes enten som et månedligt abonnement eller en levetidsabonnement, siger Threatpost. Levetidens "firma" -version inkluderer yderligere funktioner, inklusive datastjælingsfunktionaliteter, RIPlace-teknikken, og laterale bevægelser. Sikkerhedsforskere har observeret mere end 80 forskellige klienter, der tilbydes af Thanos-tilknyttede program. RIPlace kan aktiveres ved valg, hvilket resulterer i ændring af krypteringsprocessen til at omfatte bypass-teknikken.
Relaterede: RIPlace Ransomware Beskyttelse Bypass Påvirker Windows, AV Leverandører
Mere om RIPlace
RIPlace-teknikken blev opdaget sidste år af flere sikkerhedsforskere fra Nyotron - Daniel Prizmant, Guy Meoded, Freddy Ouzan, og Hanan Natan. Forskerne kontaktede sikkerhed leverandører og Microsoft om problemet. Men, tilsyneladende kun to leverandører tog de nødvendige skridt til at løse problemet og sikre de berørte produkt.
De andre virksomheder syntes at tro, at RIPlace er et "ikke-problem". Berørte virksomheder omfatter navne som Microsoft, Symantec, Sophos, Carbon Black, trend Micro, McAfee, Kaspersky, Cylance, SentineOne, Malwarebytes, Crowdstrike, og PANW Fælder. Kaspersky og Carbon Black er de eneste selskaber, der sikrede deres produkter mod RIPlace bypass teknik. Men, den nuværende implementering af RIPlace i en faktisk ransomware-familie beviser, at det virkelig er et spørgsmål, der har brug for opmærksomhed.
Hvad angår ransomware fra Thanos, det ser ud til at være under aktiv udvikling. Ransomware har modtaget positiv feedback fra cyberkriminelle på underjordiske fora, hvilket betyder, at det fortsat vil blive våben i angreb.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: