Μια πρόσφατη αλλαγή στο REvil ransomware επιτρέπει στους παράγοντες απειλής να αυτοματοποιήσουν την κρυπτογράφηση αρχείων μέσω ασφαλούς λειτουργίας μετά την αλλαγή των κωδικών πρόσβασης των Windows.
Τον Μάρτιο, αναφέραμε μια νέα λειτουργία κρυπτογράφησης ασφαλούς λειτουργίας των Windows που προστέθηκε στο ransomware REvil / Sodinokibi. Αυτή η λειτουργία μπορεί να ενεργοποιηθεί χρησιμοποιώντας μία γραμμή εντολών -smode, το οποίο θα επανεκκινήσει τη συσκευή σε ασφαλή λειτουργία, όπου θα εκτελούσε την κρυπτογράφηση αρχείων.
Πιστεύεται ότι αυτή η λειτουργία προστέθηκε ως τρόπος για την αποφυγή της ανίχνευσης από λογισμικό ασφαλείας και για το κλείσιμο αντιγράφων ασφαλείας λογισμικού, διακομιστών βάσης δεδομένων ή διακομιστών αλληλογραφίας για μεγαλύτερη επιτυχία κατά την κρυπτογράφηση αρχείων.
Ωστόσο, κατά τη στιγμή της αναφοράς μας, το ransomware απαιτούσε από κάποιον να συνδεθεί χειροκίνητα σε ασφαλή λειτουργία των Windows πριν ξεκινήσει η κρυπτογράφηση, κάτι που θα μπορούσε να αυξήσει τις κόκκινες σημαίες.
Η νέα έκδοση συνδέει αυτόματα τα Windows σε ασφαλή λειτουργία
Στα τέλη Μαρτίου, ανακαλύφθηκε ένα νέο δείγμα του ransomware REvil από τον ερευνητή ασφαλείας R3MRUM που βελτιώνει τη νέα μέθοδο κρυπτογράφησης Safe Mode αλλάζοντας τον κωδικό πρόσβασης του συνδεδεμένου χρήστη και ρυθμίζοντας τα Windows για αυτόματη σύνδεση κατά την επανεκκίνηση.
Με αυτό το νέο δείγμα, όταν χρησιμοποιείται το όρισμα -smode, το ransomware θα αλλάξει τον κωδικό πρόσβασης του χρήστη σε «DTrump4ever».
Στη συνέχεια, το ransomware διαμορφώνει τις ακόλουθες τιμές μητρώου, ώστε τα Windows να συνδέονται αυτόματα με τις νέες πληροφορίες λογαριασμού.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
“AutoAdminLogon”=”1”
“DefaultUserName”=”[account_name]”
“DefaultPassword”=”DTrump4ever”
Παρόλο που δεν είναι γνωστό εάν τα νέα δείγματα κρυπτογράφησης του REvil ransomware συνεχίζουν να χρησιμοποιούν τον κωδικό πρόσβασης «DTrump4ever», τουλάχιστον δύο δείγματα που μεταφορτώθηκαν στο VirusTotal τις τελευταίες δύο ημέρες συνεχίζουν να το κάνουν.
Αυτές οι αλλαγές δείχνουν πώς οι συμμορίες ransomware εξελίσσονται συνεχώς τις τακτικές τους για να κρυπτογραφούν επιτυχώς τις συσκευές των θυμάτων και να επιβάλλουν μια πληρωμή λύτρων.
Η REvil προειδοποίησε επίσης πρόσφατα ότι θα πραγματοποιήσουν επιθέσεις DDoS σε θύματα και θα στείλουν email στους επιχειρηματικούς συνεργάτες των θυμάτων σχετικά με κλεμμένα δεδομένα, εάν δεν καταβληθούν λύτρα.
[signoff]
