GandCrab (o semplicemente Crab) ransomware sicuramente cambiato le regole del gioco ransomware.
Gli operatori dietro la cryptovirus famigerato creato un modello di business molto profitto che altri hanno adottato rapidamente. Per esempio, diamo uno sguardo al cosiddetto ransomware Sodinokibi.
E 'visualizzata campagne di comportamento e di distribuzione ben coordinati, ed era abbastanza evidente che i suoi gestori preso in prestito un bel paio di trucchi da GandCrab. Questo ha indicato che Sodinokibi potrebbe crescere grande come GandCrab in termini di attacchi e varianti, che ha portato all'adozione di molti affiliati.
Così, che gli hacker emerso da GandCrab?
La nuovo rapporto da Advanced Intelligenza getta una luce sul “GandCrab paradigma”.
La prima differenza notevole che ha reso GandCrab risalta è l'esposizione, un vero segno di un modello di business in aumento. "prima GandCrab, squadre ransomware tradizionali, gestito da hacker russi di lingua agivano in privato, silenziosamente, ed evitato forum underground,”Dice il rapporto. Ciò è stato fatto a scopo di anonimato, come la comunità sotterranea russa non è andato insieme al modello estorsione digitale, che è fondamentale per lo sviluppo ransomware.
Gli operatori di GandCrab fatto esattamente l'opposto, scegliendo di diventare “un fenomeno paradigma-shifting":
Hanno trasformato attività ransomware in un'operazione a tutti gli effetti dei media. Branding, marketing, outreach, e anche le Pubbliche Relazioni (PR) si manifesta nelle comunicazioni continue con i clienti, affiliati, vittime, e ricercatori di sicurezza – tutto è stato meticolosamente impostato per creare un nuovo tipo di impresa ransomware.
Ma che cosa esattamente è cambiata GandCrab?
Per cominciare, lo sviluppatore ransomware(s) creato le proprie campagne di beneficenza e partnership micro-prestito attraverso forum.
L'impatto del sindacato di crimine informatico era così forte che anche una sola recensione scritta da loro conti ufficiali darkweb era sufficiente per elevare o cancellare un certo prodotto di malware messi in vendita. Quando sono stati rilasciati nuovi caricatori o ladri, la prima domanda che i membri di alto profilo del sottosuolo chiesto era: “Sono questi compatibile con“Granchio?", mentre numerosi campioni di malware esclusivi, botnet, accessi dominio, le credenziali di rete, e altri colpi d'aste sono state chiuse con il messaggio “venduto a GandCrab.”
Poco detto, Granchio "abbandonati i vecchi modi”Solo lavorare con gli affiliati esperti, e ha accolto con favore i nuovi arrivati abbastanza motivato a partecipare all'operazione. Per molti, questa era la loro prima esperienza ransomware, ma questo non è stato un problema, dal ransomware-as-a-service di granchio (RAAS) programmi e partnership di affiliazione sono stati costruiti per servire gli inesperti. Infine, il "studenti”Di questi programmi ha iniziato le proprie imprese più piccole, che ha portato nuove idee alla fondazione.
Chi ha partecipato a modello di business Granchio di ransomware?
Alcuni degli affiliati di maggior successo includono attori minaccia nota dalle seguenti soprannomi - guado, FloodService, veleno, fiocco di neve. È interessante notare che interi collettivi ransomware quali jsworm e la loro affiliazione PenLat che sono dietro il ransomware JSworm e Nemty partiti da GandCrab. Alcuni dei sostenitori GandCrab più devoti, compresi Lalartu può aver direttamente contribuito alla crescita del Revil (Sodinokibi) gruppo RaaS.
Nel marzo di quest'anno, ricercatori CrowdStrike ha detto che il gruppo criminale dietro il ransomware GandCrab oscuro è soprannominato Pinchy Spider.
E 'curioso notare che il programma ha offerto un 60-40 diviso in profitti, con 60 per cento offerto al cliente. Tuttavia, la banda era disposto a negoziare fino a un 70-30 Spalato per i clienti che sono considerati più “sofisticato", dicono i ricercatori.
GrandCrab 5.2, rilasciato nel febbraio, 2019 è venuto subito dopo uno strumento di decrittazione per la versione precedente è apparso per le vittime. Secondo i ricercatori CrowdStrike, il "sviluppo del ransomware stesso è stato guidato, in parte, da interazioni di Pinchy Ragno con la comunità di ricerca di sicurezza informatica. GandCrab contiene più riferimenti ai membri della comunità di ricerca, che sono entrambi attivi pubblicamente sui social media e hanno segnalato il ransomware".
A quel tempo, criminali Spider Pinchy erano pubblicità GandCrab agli individui con Remote Desktop Protocol (RDP) e VNC (Virtual Network Computing) abilità, e operatori di spam che hanno avuto esperienza nel networking aziendale.
I ricercatori hanno anche fornito un esempio di una tale pubblicità che ha detto quanto segue: "Gli spammer, lavorare con pagine di destinazione e gli specialisti di networking aziendali - non perdete il vostro biglietto per una vita migliore. Vi aspettiamo per voi."
L'emergere del collettivo Truniger
È curioso notare che uno dei collettivi di hacker maggior successo emerse dalle profondità di GandCrab è TeamSnatch noto anche come Truniger:
All'inizio della loro carriera criminalità informatica, Truniger (che poi di cui a se stessi in singolare) era affascinato cardatura ed e-skimming. In accordo con loro, hanno iniziato con una somma di denaro ottenuto da un lavoro legittimo, che è stato investito nell'infrastruttura digitale frodi finanziarie. Questo viale criminale, tuttavia, rapidamente i fondi di Truniger esausto e condurli in difficoltà finanziarie. Nel tentativo di schivare queste circostanze terribili, l'hacker ha iniziato a studiare Remote Desktop Protocol (RDP) vulnerabilità, specificamente, bruta costringendo PSR per accedere a database diversi.
Questo vettore dimostrato di essere più efficiente e poco dopo, Truniger ha iniziato a indagare diversi modi per monetizzare gli accessi ottenuti. Non sorprende, il modello ransomware-as-a-service è stato un passo logico successivo. La collezione ha già acquisito una certa esperienza e conoscenza per quanto riguarda ransomware, vulnerabilità anti-virus, e backdoor in software legittimo. Hanno anche testato le loro abilità in una partnership con ransomware Rapid.
Ad agosto 2018, hacker Truniger criptati più di 1,800 dispositivi, e sono stati infine notato da GandCrab. Per farla breve, il collettivo Truniger illustrato quanto velocemente un attore può crescere in un gruppo di criminalità informatica ben funzionante.
A partire dalle operazioni di cardatura minori, Truniger si è evoluta con l'aiuto di GandCrab RaaS e addirittura creato la propria versione di un programma di ransomware, i ricercatori hanno concluso.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: