GandCrab (ou apenas Crab) ransomware definitivamente mudou as regras do jogo ransomware.
Os operadores por trás do cryptovirus infame criou um modelo de negócio muito lucrando que outros rapidamente adotado. Por exemplo, vamos dar uma olhada no chamado ransomware Sodinokibi.
Ele exibiu comportamento bem coordenado e campanhas de distribuição, e era bastante evidente que seus operadores emprestaram alguns truques do GandCrab. Isso indicou que Sodinokibi poderia crescer tanto quanto o GandCrab em termos de ataques e variantes, levando à adoção de muitos afiliados.
assim, quais hackers surgiram do GandCrab?
UMA novo relatório da Advanced Intelligence lança alguma luz sobre o “paradigma GandCrab”.
A primeira diferença notável que fez GandCrab destacar-se é a exposição, um verdadeiro sinal de um crescente modelo de negócios. “Antes do GandCrab, equipes de ransomware tradicionais, dirigido por hackers de língua russa estavam agindo em particular, silenciosamente, e fóruns clandestinos evitados,”O relatório diz. Isso foi feito para fins de anonimato, já que a comunidade underground russa não seguiu o modelo digital de extorsão, que é fundamental para o desenvolvimento de ransomware.
Os operadores do GandCrab fizeram exatamente o oposto, escolhendo se tornar “um fenômeno de mudança de paradigma”:
Eles transformaram o negócio de ransomware em uma operação de mídia completa. Branding, marketing, divulgação, e até relações públicas (PR) manifestado em comunicações contínuas com os clientes, afiliados, vítimas, pesquisadores de segurança – tudo foi meticulosamente configurado para estabelecer um novo tipo de empresa de ransomware.
Mas o que exatamente o GandCrab mudou?
Para iniciantes, o desenvolvedor de ransomware(s) criaram suas próprias campanhas de caridade e parcerias de microcrédito em fóruns.
O impacto do sindicato do cibercrime foi tão forte que mesmo uma avaliação postada por suas contas oficiais do darkweb foi suficiente para elevar ou apagar um determinado produto de malware oferecido para venda. Quando novos carregadores ou ladrões foram lançados, a primeira pergunta que os membros de alto nível do underground fizeram foi: “São compatíveis com“ Caranguejo?”, enquanto inúmeras amostras exclusivas de malware, botnets, acessos de domínio, credenciais de rede, e outras rodadas de leilão foram fechadas com a mensagem "vendido para GandCrab".
disse brevemente, Caranguejo "abandonou os velhos métodos”De trabalhar apenas com afiliados experientes, e deu as boas-vindas aos recém-chegados motivados o suficiente para se juntar à operação. Para muitos, esta foi a primeira experiência de ransomware, mas isso não foi um problema, desde o ransomware-as-a-service do Crab (Raas) programas e parcerias de afiliados foram construídos para atender os inexperientes. afinal, a "alunos”Desses programas iniciaram seus próprios empreendimentos menores, que trouxe novas ideias para a fundação.
Quem participou do modelo de negócios do ransomware Crab?
Alguns dos afiliados de maior sucesso incluem agentes de ameaças conhecidos pelos seguintes apelidos - ford, FloodService, Poção, floco de neve. É digno de nota que coletivos inteiros de ransomware, como jsworm e seu afiliado PenLat, que estão por trás do ransomware JSworm e Nemty, começaram a partir do GandCrab. Alguns dos mais devotados apoiadores do GandCrab, incluindo Lalartu pode ter contribuído diretamente para a ascensão do Revil (Sodinokibi) Grupo RaaS.
Em março deste ano, Os pesquisadores do CrowdStrike disseram que o grupo criminoso por trás do infame ransomware GandCrab é apelidado de Pinchy Spider.
É curioso notar que o programa ofereceu um 60-40 divisão nos lucros, com 60 por cento oferecido ao cliente. Contudo, a gangue estava disposta a negociar até um 70-30 dividir para clientes que são considerados mais “sofisticado”, pesquisadores dizem.
GrandCrab 5.2, lançado em fevereiro, 2019 veio logo depois que uma ferramenta de descriptografia para a versão anterior apareceu para as vítimas. De acordo com pesquisadores CrowdStrike, a "desenvolvimento da própria ransomware foi impulsionada, em parte, por interações de PINCHY Aranha com a comunidade de pesquisa de segurança cibernética. GandCrab contém várias referências a membros da comunidade de pesquisa que estão ambos ativo publicamente na mídia social e relataram sobre o ransomware”.
Naquela hora, Os criminosos do Pinchy Spider anunciavam o GandCrab para indivíduos com Remote Desktop Protocol (RDP) e VNC (Virtual Network Computing) Habilidades, e operadores de spam com experiência em redes corporativas.
Os pesquisadores também forneceram um exemplo de tal anúncio, que dizia o seguinte: “spammers, trabalhando com páginas de destino e especialistas de redes corporativas - não perca o seu bilhete para uma vida melhor. Estamos esperando por você.”
O surgimento do coletivo truniger
É curioso notar que um dos coletivos de hackers de maior sucesso que emergiu das profundezas do GandCrab é o TeamSnatch, também conhecido como truniger:
No início de sua carreira no crime cibernético, truniger (que então se referiram a si mesmos no singular) ficou fascinado com cardagem e e-skimming. De acordo com eles, eles começaram com uma soma de dinheiro obtida em um emprego legítimo, que foi investido na infraestrutura digital de fraude financeira. Esta avenida criminosa, Contudo, esgotou rapidamente os fundos da truniger e os levou a dificuldades financeiras. Na tentativa de evitar essas circunstâncias terríveis, o hacker começou a investigar o protocolo Remote Desktop (RDP) vulnerabilidades, especificamente, RDPs de força bruta para acessar bancos de dados diferentes.
Este vetor mostrou-se mais eficiente e logo após, a truniger passou a investigar várias formas de monetizar os acessos obtidos. não é de surpreender, o modelo de ransomware como serviço foi a próxima etapa lógica. A coleção já ganhou alguma experiência e conhecimento sobre ransomware, vulnerabilidades antivírus, e backdoors em software legítimo. Eles até testaram suas habilidades em parceria com ransomware rápida.
Em agosto 2018, os hackers truniger criptografaram mais de 1,800 dispositivos, e foram finalmente notados por GandCrab. Longa história curta, o coletivo truniger ilustrou com que rapidez um ator pode se transformar em um grupo de crimes cibernéticos bem-sucedido.
Começando com pequenas operações de cardagem, A truniger evoluiu com a ajuda de GandCrab RaaS e até criou sua própria versão de um programa de ransomware, os pesquisadores concluíram.