Data Keeper Ransomware – neobvyklá a komplexní platforma Ransom-as-a-Service

Data Keeper RaaS

Data Keeper Ransomware, který byl vypuštěn do oběhu, byl generován novou službou Ransomware-as-a-Service (RaaS), která se nedávno objevila v podsvětí.

Před několika dny se v podsvětí objevila nová služba Ransomware-as-a-Service (RaaS), nyní se objevily vzorky malware, nazvané Data Keeper Ransomware, vytvořené na této platformě. Data Keeper Ransomware byl objeven výzkumníky z Bleeping Computer minulý týden.

“Služba byla spuštěna 12. února, ale do 20. února se nepřihlásila online, a 22. února výzkumníci v oblasti bezpečnosti hlásili, že jsou první oběti, které si stěžují na infekci.”

Kdokoliv se může k službě RaaS přihlásit a aktivovat svůj účet zdarma a vytvořit vlastní vzorky ransomwaru.

Ransomware šifruje soubory duálním algoritmem AES a RSA-4096, snaží se také šifrovat všechny sdílené sítě. Jakmile jsou soubory zašifrovány, škodlivý kód umístí v každé složce poznámku – výkupné – (“!!! ##### === ReadMe === ##### !!!. Htm”), která bude šifrovat soubory.

Operátoři, kteří řídí Data Keeper RaaS, žádají od svých uživatelů, aby generovali své vzorky a šířili je, na oplátku nabízejí podíl na výkupném, když oběti zaplatí. Není jasné, jaké procento výkupného je uživatelům nabízeno – stačí zadat adresu své Bitcoin peněženky.

Podle výzkumníků z MalwareHunterTeam, kteří ransomware analyzovali, i když je napsán v jazyce .NET, je jeho kvalita vysoká.

Data Keeper Ransomware je složitý, jedná se o jeden z mála kmenů ransomware, které používají nástroj PsExec. Data Keeper Ransomware používá PsExec ke spuštění škodlivého kódu na jiných počítačích v sítích obětí.

Zajímavou charakteristikou implementovanou službou Data Keeper Ransomware je, že nepřidává rozšíření názvů šifrovaných souborů. S tímto trikem oběti nebudou vědět, zda jsou soubory zašifrovány, pokud se jeden nepokusí otevřít.

Další jedinečností této platformy RaaS je možnost zvolit, jaké typy souborů se mají šifrovat, “partneři” mohou také nastavit výši výkupného.

Platforma využívá platební službu hostovanou v síti Tor, což je běžná volba pro mnoho škodlivého softwaru.

Podle výzkumníků se k Data Keeper RaaS zaregistrovalo již mnoho podvodníků a volně distribuují infikované binární soubory.

Další technické detaily a indikátory ohrožení (IOC) jsou zahrnuty v příspěvku zveřejněném společností Bleeping Computer.

Nedávno (v posledních týdnech) byly objeveny další služby RaaS, které objevili odborníci v podsvětí, GandCrab a Saturn.

Zdroj: securityaffairs.co

Související články

Leave a Comment