חוקרי FortiGuard Labs מרחיבים על תוכנות הכופר Monti, BlackHunt ו-Putin
חוקרי FortiGuard Labs, גוף המחקר של פורטינט, תיעדו כמה מתוכנות הכופר הבולטות בתקופה האחרונה
עמי רוחקס דומבה
| 15/02/2023
באדיבות פורטינט
חוקרי FortiGuard Labs, גוף המחקר של פורטינט, אספו נתונים אודות מספר גרסאות של תוכנות כופר ברמת סיכון גבוהה שבלטו לאחרונה במאגרי הנתונים של FortiGuard ובקהילת מודיעין של הקוד הפתוח (OSINT).
כל התוכנות אשר תועדו הצפינו קבצים על ההתקנים שהושפעו, יחד עם הדרישה לתשלום כופר עבור שחרורם. החוקרים מספקים תובנות העולות מניתוח תוכנות הכופר הללו בנוגע לנוף מתקפות הכופר המתפתח ללא הרף, לצד דרכי התגוננות מפני המתקפות.
תוכנת הכופר Monti
Monti היא תוכנת כופר חדשה יחסית אשר תוכננה כדי להצפין קבצים על מערכות Linux. הקבצים אשר הוצפנו כוללים את הסיומת ".puuuk". כמו כן, דווח על גרסאות אפשריות של Monti אשר פועלות על מערכות Windows.
בתמונה: קבצים שהוצפנו על ידי תוכנת הכופר Monti.
תוכנת הכופר Monti כוללת קובץ txt הכולל את דרישות הכופר עם הכותרת README.txt, אשר דומה לזה של תוכנת הכופר הידועה לשמצה Conti. בניגוד לתוכנות כופר טיפוסיות, גורם האיום של Monti הפעיל 2 אתרי TOR נפרדים: אחד לאירוח נתונים אשר נגנבו מהקורבנות והשני לניהול משא ומתן בנוגע לכופר.
באתר דליפת הנתונים מופיע "קיר הבושה", בו לא מופיעים כרגע קורבנות כלשהם, אך מופיעה הודעה שיכולה לרמז כי קורבנות רבים של Monti שיתפו פעולה ושילמו את הכופר, מלבד קורבן אחד בארגנטינה. תוכנת הכופר גם כוללת קובץ טקסט עם השם result.txt אשר מראה כמה קבצים היא הצפינה במכשיר שנפרץ.
בתמונה: אתר דליפת הנתונים של תוכנת הכופר Monti
תוכנת הכופר BlackHunt
חוקרי FortiGuard Labs נתקלו לאחרונה בגרסאות חדשות של תוכנת הכופר BlackHunt. מדובר בתוכנת כופר חדשה יחסית, אשר לפי הדיווחים ניגשת לרשתות הקורבנות דרך תצורות Remote Desktop Protocol דרך נקודות תורפה.
ניתן לזהות קבצים אשר הוצפנו על ידי BlackHunt באמצעות הדפוס הבא של שם הקובץ: [unique ID assigned to each compromised machine].[contact email address].Black. תוכנת הכופר מוחקת גם עותקי shadow, מה שמקשה על שחזור הקבצים.
התוכנה כוללת 2 פתקי כופר: אחד בשם #BlackHunt_ReadMe.hta והשני בשם #BlackHunt_ReadMe.txt. למרות ש-2 פתקי הכופר שייכים ל-BlackHunt, הפתקים כוללים כתובות דוא"ל שונות וגם ID שונים שהוקצו לכל קורבן.
בתמונה: קבצים אשר הוצפנו על ידי תוכנת הכופר BlackHunt
תוכנת הכופר Putin
Putin היא תוכנת כופר עדכנית המצפינה קבצים על המכשירים של הקורבן. לאחר ההצפנה, התוכנה מנסה לסחוט כסף כדי לשחרר את הקבצים ולא להדליף את הנתונים הגנובים לציבור הרחב. הקבצים אשר הוצפנו על ידי Putin כוללים את המילה .PUTIN בסיומת הקובץ.
תוכנת הכופר כוללת פתק כופר בשם README.txt, אשר קובעת כי לקורבנות יש רק יומיים כדי לבצע את תשלום הכופר. אחרת, הקבצים המוצפנים שלהם לא ישוחזרו. מדובר בשיטה נפוצה הנמצאת בשימוש של גרסאות כופר רבות כדי להלחיץ את הקורבנות לשלם את הכופר במהירות האפשרית.
בתמונה: קבצים שהוצפנו על ידי תוכנת הכופר Putin
פתק הכופר מכיל 2 ערוצי טלגרם: אחד לניהול משא ומתן לגבי תשלום הכופר והשני להדלפת הנתונים הגנובים של הקורבנות. בזמן החקירה של תוכנת הכופר, הערוץ המשמש להדלפת הנתונים כלל חברות בסינגפור ובספרד. יחד עם זאת, התאריכים של הפוסטים מגיעים רק עד לנובמבר 2022, מה שמעיד על כך שתוכנת הכופר Putin עדיין לא התפשטה בצורה רחבה.
בתמונה: ערוץ הטלגרם של תוכנת הכופר Putin
חוקרי FortiGuard Labs, גוף המחקר של פורטינט, תיעדו כמה מתוכנות הכופר הבולטות בתקופה האחרונה
באדיבות פורטינט
חוקרי FortiGuard Labs, גוף המחקר של פורטינט, אספו נתונים אודות מספר גרסאות של תוכנות כופר ברמת סיכון גבוהה שבלטו לאחרונה במאגרי הנתונים של FortiGuard ובקהילת מודיעין של הקוד הפתוח (OSINT).
כל התוכנות אשר תועדו הצפינו קבצים על ההתקנים שהושפעו, יחד עם הדרישה לתשלום כופר עבור שחרורם. החוקרים מספקים תובנות העולות מניתוח תוכנות הכופר הללו בנוגע לנוף מתקפות הכופר המתפתח ללא הרף, לצד דרכי התגוננות מפני המתקפות.
תוכנת הכופר Monti
Monti היא תוכנת כופר חדשה יחסית אשר תוכננה כדי להצפין קבצים על מערכות Linux. הקבצים אשר הוצפנו כוללים את הסיומת ".puuuk". כמו כן, דווח על גרסאות אפשריות של Monti אשר פועלות על מערכות Windows.
בתמונה: קבצים שהוצפנו על ידי תוכנת הכופר Monti.
תוכנת הכופר Monti כוללת קובץ txt הכולל את דרישות הכופר עם הכותרת README.txt, אשר דומה לזה של תוכנת הכופר הידועה לשמצה Conti. בניגוד לתוכנות כופר טיפוסיות, גורם האיום של Monti הפעיל 2 אתרי TOR נפרדים: אחד לאירוח נתונים אשר נגנבו מהקורבנות והשני לניהול משא ומתן בנוגע לכופר.
באתר דליפת הנתונים מופיע "קיר הבושה", בו לא מופיעים כרגע קורבנות כלשהם, אך מופיעה הודעה שיכולה לרמז כי קורבנות רבים של Monti שיתפו פעולה ושילמו את הכופר, מלבד קורבן אחד בארגנטינה. תוכנת הכופר גם כוללת קובץ טקסט עם השם result.txt אשר מראה כמה קבצים היא הצפינה במכשיר שנפרץ.
בתמונה: אתר דליפת הנתונים של תוכנת הכופר Monti
תוכנת הכופר BlackHunt
חוקרי FortiGuard Labs נתקלו לאחרונה בגרסאות חדשות של תוכנת הכופר BlackHunt. מדובר בתוכנת כופר חדשה יחסית, אשר לפי הדיווחים ניגשת לרשתות הקורבנות דרך תצורות Remote Desktop Protocol דרך נקודות תורפה.
ניתן לזהות קבצים אשר הוצפנו על ידי BlackHunt באמצעות הדפוס הבא של שם הקובץ: [unique ID assigned to each compromised machine].[contact email address].Black. תוכנת הכופר מוחקת גם עותקי shadow, מה שמקשה על שחזור הקבצים.
התוכנה כוללת 2 פתקי כופר: אחד בשם #BlackHunt_ReadMe.hta והשני בשם #BlackHunt_ReadMe.txt. למרות ש-2 פתקי הכופר שייכים ל-BlackHunt, הפתקים כוללים כתובות דוא"ל שונות וגם ID שונים שהוקצו לכל קורבן.
בתמונה: קבצים אשר הוצפנו על ידי תוכנת הכופר BlackHunt
תוכנת הכופר Putin
Putin היא תוכנת כופר עדכנית המצפינה קבצים על המכשירים של הקורבן. לאחר ההצפנה, התוכנה מנסה לסחוט כסף כדי לשחרר את הקבצים ולא להדליף את הנתונים הגנובים לציבור הרחב. הקבצים אשר הוצפנו על ידי Putin כוללים את המילה .PUTIN בסיומת הקובץ.
תוכנת הכופר כוללת פתק כופר בשם README.txt, אשר קובעת כי לקורבנות יש רק יומיים כדי לבצע את תשלום הכופר. אחרת, הקבצים המוצפנים שלהם לא ישוחזרו. מדובר בשיטה נפוצה הנמצאת בשימוש של גרסאות כופר רבות כדי להלחיץ את הקורבנות לשלם את הכופר במהירות האפשרית.
בתמונה: קבצים שהוצפנו על ידי תוכנת הכופר Putin
פתק הכופר מכיל 2 ערוצי טלגרם: אחד לניהול משא ומתן לגבי תשלום הכופר והשני להדלפת הנתונים הגנובים של הקורבנות. בזמן החקירה של תוכנת הכופר, הערוץ המשמש להדלפת הנתונים כלל חברות בסינגפור ובספרד. יחד עם זאת, התאריכים של הפוסטים מגיעים רק עד לנובמבר 2022, מה שמעיד על כך שתוכנת הכופר Putin עדיין לא התפשטה בצורה רחבה.
בתמונה: ערוץ הטלגרם של תוכנת הכופר Putin
