Δεν πέρασε πολύς καιρός από την υπόσχεση ότι η απειλή του ransomware ήταν σε τάσεις αποδρομής, ειδικά μετά την επιτυχία του FBI στον περιορισμό της εγκληματικής ομάδας LockBit.
Ωστόσο, η LockBit επανήλθε γρήγορα, ακόμη και στέλνοντας προειδοποίηση στον νέο διευθυντή του FBI, Kash Patel. Η φύση της απειλής που συνιστά το ransomware για τις επιχειρήσεις έχει γίνει ιδιαίτερα εμφανής στα πρόσφατα υψηλού προφίλ ενημερωτικά σημειώματα ασφαλείας του FBI για τις συνεχείς επιθέσεις Medusa ransomware-as-a-service.
Ακολουθεί ό,τι πρέπει να γνωρίζετε για το VanHelsing και τις αρχικές επιθέσεις που στοχεύουν συσκευές Windows.
Οι αρχικές επιθέσεις VanHelsing στοχεύουν Windows με ένα βαρύ τιμήμα
Αν και το VanHelsing ransomware-as-a-service κυκλοφόρησε μόλις στις 7 Μαρτίου, έχει ήδη προκαλέσει μεγάλη αίσθηση. Περιγράφεται ως ταχέως αναπτυσσόμενο, με τους υπεύθυνους για το VanHelsing να έχουν ήδη δει τρεις επιχειρηματικούς στόχους να πέφτουν θύματα μέσα σε μόλις δύο εβδομάδες.
Αν και αυτό φαίνεται να είναι μικρό σε σχέση με τη συνολική εικόνα του κυβερνοεγκλήματος, είναι τρεις επιτυχείς επιθέσεις σε μόλις 14 ημέρες λειτουργίας.
Θα πρέπει να λάβετε το VanHelsing πολύ σοβαρά από αυτό το σημείο και μετά. Επιπλέον, η «ταχεία εξέλιξή» του επιβεβαιώνεται από το γεγονός ότι οι ερευνητές απέκτησαν δύο διαφορετικές παραλλαγές του ransomware, οι οποίες είχαν συνταχθεί μόλις πέντε ημέρες η μία από την άλλη, δείχνοντας την ταχύτητα με την οποία εξελίσσεται.
Εταιρικοί συνεργάτες και το τιμολόγιο για επίθεση
Σύμφωνα με τους ειδικούς στο Check Point Research, η πλατφόρμα ransomware-as-a-service άνοιξε τις πόρτες της σε «σεβαστούς» συνεργάτες (αν και το χρησιμοποιούμενο επιθετικό προσδιορισμό μπορεί να αμφισβητηθεί σε αυτές τις περιπτώσεις), προσφέροντάς τους δωρεάν πρόσβαση.
Ωστόσο, οι μη αποδεδειγμένοι εγκληματίες που ήθελαν να χρησιμοποιήσουν την υπηρεσία για να πραγματοποιήσουν επιθέσεις απαιτείται να καταβάλουν μια προκαταβολή 5,000 δολαρίων για να αποκτήσουν πρόσβαση στην επιθετική πλατφόρμα. Δεν είναι κακή επένδυση, αν οι επιθέσεις τους είναι επιτυχείς.
«Μετά από δύο επιβεβαιώσεις μέσω blockchain της πληρωμής λύτρων από το θύμα», ανέφερε το Check Point, «οι συνεργάτες λαμβάνουν το 80% των εσόδων, ενώ το υπόλοιπο 20% πηγαίνει στους χειριστές του RaaS».
Για τα χρήματά τους, οι επιτιθέμενοι αποκτούν όλα τα εργαλεία που χρειάζονται για να διαχειριστούν τις επιθέσεις τους μέσω ενός πίνακα ελέγχου και ενός διασυμβατικού κλειδώματος.
Περισσότερο από Windows στο στόχαστρο αυτής της νέας απειλής Ransomware $500,000
Οι ειδικοί από το Check Point Research προειδοποίησαν ότι, ενώ οι πρώτες επιτυχείς επιθέσεις επικεντρώθηκαν σε συστήματα Windows, το VanHelsing είναι στην πραγματικότητα πλατφόρμα πολλαπλών συστημάτων και μπορεί επίσης να μολύνει Linux, BSD, ARM και ESXi συστήματα.
«Αυτή η υποστήριξη πολλαπλών συστημάτων διευρύνει σημαντικά την εμβέλεια του ransomware», ανέφερε το Check Point, «επιτρέποντας του να στοχεύσει ένα ευρύ φάσμα συστημάτων».
Όλα τα στοιχεία δείχνουν ότι πίσω από τον τελευταίο παράγοντα του ransomware βρίσκεται η ρωσική κυβερνοεγκληματικότητα, όχι λιγότερο από το γεγονός ότι οι συνεργάτες του VanHelsing δεν πρέπει να κρυπτογραφήσουν τα συστήματα εντός των χωρών της Κοινοπολιτείας Ανεξαρτήτων Κρατών (CIS).
Αναμένονται γρήγορα αυξανόμενες επιθέσεις από αυτό το σημείο και μετά. Ιδιαίτερα δεδομένου ότι το Check Point έχει επιβεβαιώσει ότι τα αρχικά θύματα έχουν υψηλή αξία, με απαιτήσεις λύτρων $500,000 κατά τη διάρκεια των διαπραγματεύσεων για τα λύτρα.
«Αυτή η ταχεία κλιμάκωση υπογραμμίζει την αποτελεσματικότητα του προγράμματος και τη συνεχώς εξελισσόμενη φύση των απειλών ransomware», κατέληξε το Check Point, «τονίζοντας την ανάγκη για ισχυρά μέτρα κυβερνοασφάλειας για την καταπολέμηση τέτοιων εξελιγμένων επιθέσεων».
