Carding 4 Carders
Professional
DeathRansom считается поддельной программой-вымогателем из-за того, что в ней не реализован эффективный процесс шифрования, но теперь все меняется.
DeathRansom - это семейство программ-вымогателей, которые изначально были классифицированы как шутка, поскольку в них не реализована эффективная схема шифрования.
Исследователи Fortinet опубликовали анализ, который показывает, что угроза развивается, теперь она способна шифровать файлы с помощью надежного шифрования.
Эксперты отметили, что программа-вымогатель распространяется в рамках эффективной кампании и был способен заражать новых жертв ежедневно в течение последних двух месяцев.
Программа-вымогатель DeathRansom была впервые обнаружена в ноябре 2019 года, но в то время это был просто безобидный код.
Первые образцы только добавляли расширение файла ко всем файлам пользователя без их шифрования, и они сбрасывали записку о выкупе на компьютеры жертв.
Вредоносная программа пыталась заставить жертв думать, что их системы заражены программой-вымогателем.
Теперь код DeathRansom был усовершенствован, и последние версии эффективно шифруют файлы, используя комбинацию алгоритма Curve25519 для схемы обмена ключами Эллиптической кривой Диффи-Хеллмана (ECDH), Salsa20, RSA-2048, AES-256 ECB и простого блочный алгоритм XOR.
Эксперты Fortinet также сосредоточили свое расследование на предполагаемом авторе вымогателя. Наличие определенных строк в исходном коде DeathRansom и анализ веб-сайтов, распространяющих угрозу, позволили экспорту связать вымогатель с оператором вредоносного ПО, который был очень активен в последние годы.
Оператор участвовали в кампаниях распределяя несколько похитителей паролей, в том числе Видара, Azorult, Evrial, 1ms0rryStealer и шахтеров, как SupremeMiner.
Файлы Имена и пути, наблюдаемые в многочисленных кампаниях, проводимых оператором, показали ссылку на никнеймы scat01 и SoftEgorka, vitasa01[@]яндекс.RU адрес электронной почты, номер телефона в России и gameshack.ru интернет сайт.
Исследователи выявили серию профилей в Яндекс.Маркете, YouTube, Skype, ВКонтакте, Instagram и Facebook, которые были связаны с гражданином России Егором Недуговым, проживающим в Аксае, небольшом российском городке недалеко от Ростова-на-Дону.
«Когда-то мы искали «scat01» и «видар «на форумах российского подполья мы нашли человека с таким же ником, который оставил отзыв (на русском языке) о Vidar stealer», - говорится в отчете, опубликованном Fortinet.
«Имя «Егор» соответствует одному из андеграундных ников «Мягкий Егор ка», а фамилия «Недугов» соответствует аккаунту в Skype «nedugov99». Согласно анкете, этот человек проживает в Ростове-на-Дону. Помните, что обзор Яндекса, сделанный scat01, был сделан из Аксая - небольшого городка недалеко от Ростова-на-Дону».
Эксперты Fortinet использовали несколько онлайн-профилей одного и того же актера, некоторые из которых не были включены в их отчет.
По мнению экспертов, один и тот же человек несет ответственность за фишинговые атаки и попытки мошенничества в отношении своих товарищей по форуму.
«Согласно информации на подпольных форумах, этот человек несет ответственность за кражу аккаунтов, кардинг, распространение вредоносных программ и даже фишинг и мошенничество со стороны своих товарищей по форуму. Вот почему почти все его аккаунты на подпольных форумах в конечном итоге были забанены ». продолжает отчет.
В настоящее время DeathRansom распространяется посредством фишинговых кампаний.
«FortiGuard Labs установила значительную связь между текущими кампаниями по вредоносному ПО DeathRansom и Vidar. У них общий шаблон именования и используемая инфраструктура. Мы также обнаружили доказательства того, что образец Vidar пытался загрузить вредоносное ПО DeathRansom ». завершает отчет.
«Мы считаем, что актер с ником scat01 мог быть ответственным для последней атаки DeathRansom, а также других вредоносных атак. Мы также обнаружили свидетельства сильных российских корней распространяемого вредоносного ПО. Основываясь на свидетельствах, оставленных на российских подпольных форумах, мы смогли найти человека, который, по всей видимости, стоит за этими злонамеренными кампаниями».
Дополнительные технические подробности, включая индикаторы взлома (IoC), приводятся в анализе, опубликованном Fortinet.
DeathRansom - это семейство программ-вымогателей, которые изначально были классифицированы как шутка, поскольку в них не реализована эффективная схема шифрования.
Исследователи Fortinet опубликовали анализ, который показывает, что угроза развивается, теперь она способна шифровать файлы с помощью надежного шифрования.
Эксперты отметили, что программа-вымогатель распространяется в рамках эффективной кампании и был способен заражать новых жертв ежедневно в течение последних двух месяцев.
Программа-вымогатель DeathRansom была впервые обнаружена в ноябре 2019 года, но в то время это был просто безобидный код.
Первые образцы только добавляли расширение файла ко всем файлам пользователя без их шифрования, и они сбрасывали записку о выкупе на компьютеры жертв.
Вредоносная программа пыталась заставить жертв думать, что их системы заражены программой-вымогателем.
Теперь код DeathRansom был усовершенствован, и последние версии эффективно шифруют файлы, используя комбинацию алгоритма Curve25519 для схемы обмена ключами Эллиптической кривой Диффи-Хеллмана (ECDH), Salsa20, RSA-2048, AES-256 ECB и простого блочный алгоритм XOR.
Эксперты Fortinet также сосредоточили свое расследование на предполагаемом авторе вымогателя. Наличие определенных строк в исходном коде DeathRansom и анализ веб-сайтов, распространяющих угрозу, позволили экспорту связать вымогатель с оператором вредоносного ПО, который был очень активен в последние годы.
Оператор участвовали в кампаниях распределяя несколько похитителей паролей, в том числе Видара, Azorult, Evrial, 1ms0rryStealer и шахтеров, как SupremeMiner.
Файлы Имена и пути, наблюдаемые в многочисленных кампаниях, проводимых оператором, показали ссылку на никнеймы scat01 и SoftEgorka, vitasa01[@]яндекс.RU адрес электронной почты, номер телефона в России и gameshack.ru интернет сайт.
Исследователи выявили серию профилей в Яндекс.Маркете, YouTube, Skype, ВКонтакте, Instagram и Facebook, которые были связаны с гражданином России Егором Недуговым, проживающим в Аксае, небольшом российском городке недалеко от Ростова-на-Дону.
«Когда-то мы искали «scat01» и «видар «на форумах российского подполья мы нашли человека с таким же ником, который оставил отзыв (на русском языке) о Vidar stealer», - говорится в отчете, опубликованном Fortinet.
«Имя «Егор» соответствует одному из андеграундных ников «Мягкий Егор ка», а фамилия «Недугов» соответствует аккаунту в Skype «nedugov99». Согласно анкете, этот человек проживает в Ростове-на-Дону. Помните, что обзор Яндекса, сделанный scat01, был сделан из Аксая - небольшого городка недалеко от Ростова-на-Дону».
Эксперты Fortinet использовали несколько онлайн-профилей одного и того же актера, некоторые из которых не были включены в их отчет.
По мнению экспертов, один и тот же человек несет ответственность за фишинговые атаки и попытки мошенничества в отношении своих товарищей по форуму.
«Согласно информации на подпольных форумах, этот человек несет ответственность за кражу аккаунтов, кардинг, распространение вредоносных программ и даже фишинг и мошенничество со стороны своих товарищей по форуму. Вот почему почти все его аккаунты на подпольных форумах в конечном итоге были забанены ». продолжает отчет.
В настоящее время DeathRansom распространяется посредством фишинговых кампаний.
«FortiGuard Labs установила значительную связь между текущими кампаниями по вредоносному ПО DeathRansom и Vidar. У них общий шаблон именования и используемая инфраструктура. Мы также обнаружили доказательства того, что образец Vidar пытался загрузить вредоносное ПО DeathRansom ». завершает отчет.
«Мы считаем, что актер с ником scat01 мог быть ответственным для последней атаки DeathRansom, а также других вредоносных атак. Мы также обнаружили свидетельства сильных российских корней распространяемого вредоносного ПО. Основываясь на свидетельствах, оставленных на российских подпольных форумах, мы смогли найти человека, который, по всей видимости, стоит за этими злонамеренными кампаниями».
Дополнительные технические подробности, включая индикаторы взлома (IoC), приводятся в анализе, опубликованном Fortinet.
