GandCrab (ou tout simplement crabe) ransomware a définitivement changé les règles du jeu de ransomware.
Les opérateurs derrière le cryptovirus infâme créé un modèle d'affaires très en profitant que d'autres ont rapidement adopté. Par exemple, nous allons jeter un oeil à la soi-disant Sodinokibi ransomware.
Il affiche des campagnes de comportement et de distribution bien coordonnés, et il était tout à fait évident que ses opérateurs ont emprunté un tout à fait quelques tours de GandCrab. Cela indique que Sodinokibi pourrait croître aussi grand que GandCrab en termes d'attaques et variantes, conduisant à l'adoption de nombreuses filiales.
Si, qui a émergé de pirates GandCrab?
Une nouveau rapport par Intelligence avancée éclaire sur le « paradigme de GandCrab ».
La première différence notable qui a fait GandCrab se démarquer est l'exposition, un vrai signe d'un modèle d'affaires en hausse. "avant GandCrab, équipes traditionnelles ransomware, dirigé par les pirates russophones ont été agissant à titre privé, silencieusement, et éviter les forums souterrains,» Le rapport. Cela a été fait à des fins d'anonymat, comme la communauté souterraine russe ne va pas avec le modèle d'extorsion numérique, qui est au cœur du développement de ransomware.
Les opérateurs de GandCrab ont fait exactement le contraire en choisissant de devenir «un phénomène de changement de paradigme":
Ils se sont en affaires ransomware une opération médiatique à part entière. l'image de marque, commercialisation, sensibilisation, et même des relations publiques (PR) manifesté dans les communications continues avec les clients, Affiliés, victimes, et les chercheurs en sécurité – tout a été méticuleusement mis à établir un nouveau type d'entreprise ransomware.
Mais qu'est-ce qui a changé, exactement GandCrab?
Pour commencer, le développeur ransomware(s) créé leurs propres campagnes de charité et des partenariats de microcrédit à travers des forums.
L'impact de la cybercriminalité syndicat était si forte que même un commentaire publié par leurs comptes darkweb officiels était suffisant pour élever ou effacer un produit des logiciels malveillants mis en vente. Lorsque de nouveaux chargeurs ou voleuses ont été libérés, la première question que les membres de haut niveau du sous-sol était demandé: « Sont-ils compatibles avec « Crabe?", tandis que de nombreux échantillons de logiciels malveillants exclusifs, botnets, les accès de domaine, informations d'identification réseau, et d'autres tours d'enchères ont été fermées avec le message « vendu à GandCrab. »
Peu dit, Crabe "abandonné les anciennes façons» Seulement avec les affiliés expérimentés travaillant, et se sont félicitées des nouveaux arrivants assez motivés pour participer à l'opération. Pour beaucoup, ce fut leur première expérience ransomware, mais cela n'a pas été un problème, depuis ransomware-as-a-service crabe (RAAS) programmes et partenariats d'affiliation ont été construits pour servir l'expérience. Finalement, la "élèves» De ces programmes a commencé leurs propres plus petites entreprises, qui a apporté des idées nouvelles à la fondation.
Qui ont participé au modèle d'affaires de crabe ransomware?
Certaines des filiales les plus réussies sont les acteurs de la menace connue sous les surnoms suivants - Ford, FloodService, venin, flocon de neige. Il est à noter que les collectifs entiers de ransomware tels que jsworm et leur filiale PenLat qui sont derrière le ransomware JSworm et Nemty ont commencé à partir GandCrab. Certains des partisans les plus dévoués de GandCrab, y compris Lalartu peut avoir contribué directement à la montée du Revil (Sodinokibi) groupe RAAS.
En Mars de cette année, les chercheurs CrowdStrike ont dit que le groupe criminel derrière le ransomware de GandCrab infâme est surnommé Pinchy Araignée.
Il est curieux de noter que le programme a offert une 60-40 scission des bénéfices, avec 60 pour cent offert au client. Cependant, le gang était prêt à négocier jusqu'à un 70-30 fendu pour les clients qui sont considérés comme plus «sophistiqué", les chercheurs disent.
GrandCrab 5.2, publié en Février, 2019 est venu juste après un outil de décryptage pour la version précédente est apparu pour les victimes. Selon les chercheurs CrowdStrike, la "développement du ransomware lui-même a été conduit, en partie, par les interactions avec Pinchy SPIDER la communauté de recherche sur la cybersécurité. GandCrab contient plusieurs références à des membres de la communauté des chercheurs qui sont à la fois public actif sur les médias sociaux et ont fait rapport sur la ransomware".
À ce moment-là, criminels Pinchy Spider ont été la publicité GandCrab aux personnes avec protocole de bureau à distance (RDP) et VNC (Virtual Network Computing) compétences, et les opérateurs de spam qui avaient de l'expérience dans les réseaux d'entreprise.
Les chercheurs ont également fourni un exemple d'une telle publicité qui dit ce qui suit: "polluposteurs, travailler avec les pages d'atterrissage et les spécialistes de réseaux d'entreprise - ne manquez pas votre billet pour une vie meilleure. Nous t'attendons."
L'émergence du collectif Truniger
Il est curieux de noter que l'un des collectifs de pirates informatiques les plus réussies qui ont émergé des profondeurs de GandCrab est TeamSnatch également connu sous le nom Truniger:
Au début de leur carrière de la cybercriminalité, Truniger (qui a ensuite appelé à se au singulier) a été fasciné par le cardage et e-écrémage. Selon eux, ils ont commencé avec une somme d'argent provenant d'un emploi légitime, qui a été investi dans l'infrastructure numérique de la fraude financière. Cette avenue criminelle, cependant, rapidement les fonds Truniger épuisés et les conduire dans des difficultés financières. Dans les tentatives d'esquiver ces circonstances terribles, le pirate a commencé à enquêter sur Remote Desktop Protocol (RDP) vulnérabilités, spécifiquement, UDE-force brute pour accéder à différentes bases de données.
Ce vecteur avéré être plus efficace et peu de temps après, Truniger a commencé à étudier diverses façons de monétiser les accès obtenus. Sans surprise, le modèle ransomware-as-a-service est une étape logique. La collection avait déjà acquis une certaine expérience et de connaissances en ce qui concerne ransomware, vulnérabilités anti-virus, et backdoors dans des logiciels légitimes. Ils ont même testé leurs compétences dans un partenariat avec ransomware rapide.
en Août 2018, Truniger pirates chiffrés plus 1,800 dispositifs, et ont finalement été remarqué par GandCrab. Longue histoire courte, le collectif Truniger illustré la rapidité avec laquelle un acteur peut se transformer en un groupe de cybercriminalité bien travailler.
À partir des opérations de cardage mineures, Truniger a évolué avec l'aide de GandCrab Raas et même créé leur propre version d'un programme ransomware, les chercheurs ont conclu.