.

Operation Kofer: Ransomware μεταλλάσσεται για να αποφύγει τον εντοπισμό


Την εμφάνισή της στο κυβερνοχώρο έκανε τεράστια επιχείρηση ransomware, που ονομάστηκε “Operation Kofer”— η οποία έχει την δυνατότητα να μεταλλάσσεται για να ξεγελάει τους μηχανισμούς εντόπισης.

Οι ερευνητές της Cybereason Labs, αφού εξέτασαν διάφορες εκδοχές του Kofer ransomware απ’ όλο τον κόσμο, ανακάλυψαν πως αυτές μοιράζονται τις ίδιες τεχνικές κατασκευής και παράδοσης αλλά ενσωματώνουν ως επίσης τυχαίες μεταβλητές ώστε να αποφεύγουν το static-signature και την hash-based ανίχνευση. Το γεγονός αυτό οδήγησε την ομάδα των ερευνητών να πιστεύουν πως όλες οι εκδοχές δημιουργήθηκαν από την ίδια ομάδα hacker η οποία χρησιμοποίησε συγκεκριμένο αλγόριθμο ώστε να αναμείξει και να ταιριάξει διαφορετικά τα συστατικά, δίνοντας έτσι στο ransomware δυνατότητες διαφυγής παρόμοιες με APT.

Τα δείγματα του Kofer που ανέλυσαν οι ειδικοί, είχαν διαφορετικά hashes και χαρακτηριστικά, αλλά τα ίδια γνωρίσματα και ιδιότητες, όπως τα fake icons, τα πλαστά ονόματα αρχείων, και ένα συγκεκριμένο packaging pattern, το οποίο συνδέει τα δείγματα, που θα φαίνονταν άσχετα μεταξύ τους υπό άλλες συνθήκες, κάτω από μια μοναδική επιχείρηση.

Επιπλέον, στους μηχανισμούς που βοηθούν στην αποφυγή της ανίχνευσης από sandboxes και δυναμικά εργαλεία ανίχνευσης, οι παραλλαγές του Kofer, περιλαμβάνουν επίσης διακοσμητικά στοιχεία που έχουν ως στόχο την παραπλάνηση των ερευνητών.

«Το γεγονός πως οι παραλλαγές του Kofer προέρχονται από μόνο μια πηγή είναι δείγμα εμπορευματοποίησης του ransomware σε ένα εντελώς νέο επίπεδο», αναφέρει ο Uri Sternfeld, της Cybereason.

«Η Operation Kofer, εμφανίζεται να είναι η πρώτη “drive-by” επιχείρηση ransomware, που ενσωματώνει ένα επίπεδο πολυπλοκότητας APT/nation-state, καθιστώντας το προϊόν της όλο και μεγαλύτερη απειλή για τις εταιρείες.

Όσον αφορά τον ανεξέλεγκτο πολλαπλασιασμό των παραλλαγών, βρέθηκαν όλες και συγκρίθηκαν τις προηγούμενες εβδομάδες, ενώ δημιουργούνται πιθανότατα και νέες κάθε λίγες μέρες ή και ώρες!

Η Cybereason πιστεύει πως η Operation Kofer, έχει ήδη πανευρωπαϊκή παρουσία, όπως επιβεβαιώνουν οι ερευνητές, που εντόπισαν εκδοχές στην Ισπανία, την Πολωνία, την Ελβετία την Τουρκία αλλά και άλλες.


Ετικέτες ,
[blogger]

Author Name

Φόρμα επικοινωνίας

Όνομα

Ηλεκτρονικό ταχυδρομείο *

Μήνυμα *

Από το Blogger.