Sabotaža među rivalskim ransomwareom

Petya sabotirao rivalski Chimera ransomware objavivši ključeve za dekripciju

Sabotaža među rivalskim ransomwareom

Petya sabotirao rivalski Chimera ransomware objavivši ključeve za dekripciju

"Nema časti među lopovima" - izreka je koja važi i za tvorce ransomware-a. Autori Mischa i Petya ransomware-a objavili su 3500 ključeva za dekripciju rivalskog Chimera ransomware-a. Vrlo verovatno svrha ovoga je da sajber-kriminalci prestanu da koriste Chimera ransomware i pređu na novu verziju Mischa i Petya ransomware-a. Vesti o objavljivanju ključeva potekle su sa Tvitera od strane korisnika @JanusSecretary. U tvitu je pored linka ka ključevima za dekripciju stajalo i sledeće:

"Objavili smo oko 3500 ključeva za dekripciju Chimere. U pitanju su RSA privatni ključevi i prikazani su u HEX formatu. Antivirus kompanije ne bi trebalo da imaju težak posao da naprave dekripter sa ovim informacijama".

Kaspersky Lab je u sredu objavio ažuriranu verziju RakhniDecryptor ransomware utility (verzija 1.16.0.0) koja dekriptuje fajlove zaražene Chimera ransomware-om. Na taj način je korisnicima koji su pokupili Chimeru omogućeno da povrate fajlove bez plaćanja otkupnine. Izvor "curenja" ključeva za dekripciju se može povezati sa Mischa ransomware-om (Mischa koristi deo izvornog koda Chimere). Autori Petya su prema sopstvenom priznanju u jednom momentu ušli u Chimerin razvojni sistem i iskoristili deo njihovog koda za svoj projekat. Pretpostavlja se da su tada uzeli i ključeve za dekripciju.

Popularnost Chimere drastično opada. Prošlog novembra BleepingComputers je objavio da autori više ne rade na ransomware-u. Crypto-ransomware je prvi put primećen septembra 2015. u Nemačkoj. Bio je jedinstven po tome što je u uvijenoj formi pretio da će objaviti žrtvine fajlove onlajn. Moguće je da nije slučajnost to što je Chimera dobila finalni udarac u isto vreme kada je krenula nova kampanja autora Petya i Mischa ransomware-a. Istog dana kada su objavljeni ključevi za dekripciju Chimere, tržištu (sajber-kriminalcima) je ponuđen Petya & Mischa RaaS (platforma preko koje sajber-kriminalci mogu da plasiraju ransomware na vrlo jednostavan način).

Autori Petya i Mischa testiraju novu vrstu ransomware-a u saradnji sa nekoliko "velikih distributera". Tesno sarađuju od prošlog maja. Tada se dogodio vrhunac Petya crypto-malware kampanje kada su meta bili ne samo fajlovi na žrtvinom računaru, već i Master File Table (MFT) na kompromitovanim uređajima. Ukoliko Petya nije mogao da dođe do MFT-a, pokušao bi da instalira Mischa ransomware.

Povodom udruživanja Petya i Mischa ransomware autora Lorens Abrams sa sajta BleepingComputers napisao je sledeće:

"Od danas, svako ko želi da se bavi sajber-kriminalom može da se javi i postane zvanični distributer. Nažalost, čini se da je dalje širenje ovog ransomware-a neminovnost i da će u budućnosti biti velikih kampanja njegove distribucije".

Izvor: threatpost.com