Групата за рансъмуер на SynAck пуска ключове за декриптиране, докато те се ребрандират в El_Cometa

Бандата за изкупуване на SynAck пусна ключове за дешифриране на жертви, заразени между юли 2017 г. и 2021 г., според данни получени от The Record.

SynAck е в процес на се ребрандира като El_Cometa банда от ransomware и член на старата група дадоха ключовете на The Record.

Майкъл Гилеспи от Emsisoft потвърди достоверността на ключовете за декриптиране и заяви, че работят по собствена програма за декриптиране, която според тях ще бъде „по -безопасна и по -лесна за използване“, тъй като има опасения, че жертвите на SynAck могат да повредят файловете си допълнително с помощта на предоставените ключове.

Експертът по Ransomware Алън Лиска каза пред ZDNet, че групата срещу ransomware SynAck стартира точно преди Ransomware-as-a-service да започне да излиза през 2018 г.

“Така че те никога не са възлагали на външни изпълнители своите дейности срещу ransomware. Докато продължиха атаките, нямаше толкова много, колкото групи като Conti или REvil успяха да проведат, така че се загубиха в разбъркването”, каза Лиска. “Те също не са ударили наистина големи цели.”

В доклад на Лаборатория на Касперски през 2018 г. се казва, че SynAck се различава през 2017 г., като не използва портал за плащания и вместо това изисква жертвите да организират плащане в Bitcoin чрез имейл или ID на BitMessage.

Те обикновено искаха откуп около 3000 долара и спечелиха известност с използването на техниката Doppelgänging, която е насочена към операционната система Microsoft Windows и е предназначена да заобиколи традиционния софтуер за сигурност и антивирусни решения, като използва начина, по който те взаимодействат с процесите в паметта.

Има малко данни за жертвите на групата срещу ransomware, но изследователи от Лаборатория Касперски заявиха, че са наблюдавали нападения от бандата в САЩ, Кувейт, Германия и Иран.

„Способността на техниката Process Doppelgänging да промъкне злонамерен софтуер покрай най -новите мерки за сигурност представлява значителна заплаха; такава, която не е изненадващо, бързо е овладяна от нападателите,“ казах Антон Иванов, водещ анализатор на зловреден софтуер в Лаборатория Касперски.

“Нашето изследване показва как сравнително ниският профил, целенасочен ransomware SynAck използва техниката, за да надгради способността си за скритост и заразяване. За щастие логиката за откриване на този ransomware е приложена, преди да се появи в природата.”

Представител на SynAck заяви пред The ​​Record, че групата планира да пусне нова платформа за откупуване като услуга и да наеме филиали, които да помогнат при работата им по El_Cometa.

Множество групи за изкупуване, като Avaddon и Прометей, са пуснали инструменти за декриптиране през последните месеци, или в опит да ребрандират, или поради увеличена активност на правоприлагащите органи.



Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com