AlumniLocker Ransomware

Infosec-forskere har opdaget en ny potent ransomware-trussel, der er baseret på den tidligere opdagede Thanos (Tycoon) Ransomware. Denne nye variant af Thanos Ransomware kaldes AlumniLocker Ransomware, og den udviser nogle usædvanlige egenskaber, der kan signalere, at den gruppe, der er ansvarlig for den, stadig er uerfaren med at udføre ransomware-angrebskampagner.

 Som en indledende overtrædelsesvektor anvender AlumniLocker phishing-e-mails, der indeholder beskadigede PDF-vedhæftede filer. E-mailens brødtekst og den vedhæftede fil er designet til at ligne en vigtig faktura i et forsøg på at få målbrugeren til at åbne filen så hurtigt som muligt. Inde i den falske fakturapDF finder brugerne et link, der, når de klikker, vil slippe et ZIP-arkiv indeholdt en downloader på deres computere.

 AlumniLocker-nyttelasten hentes derefter og udføres af et PowerShell-script forklædt som en JPG-fil. Metoden til at starte ransomware misbruger et BITS-modul (Background Intelligent Service Transfer). Når den er implementeret, krypterer truslen ofrets filer og tilføjer '.alumni' til deres oprindelige navne som en ny udvidelse. Når krypteringsrutinen er afsluttet, genereres en tekstfil med instruktioner til offeret.

Her er, når det første ejendommelige aspekt af AlumniLocker Ransomware vises. Tilsyneladende vil cyberkriminelle modtage summen af 10 Bitcoin, hvis de skal sende dekrypteringsværktøjet til deres ofre. Prisen på Bitcoin er berygtet for sin volatilitet, men ved den nuværende sats er 10 bitcoins mere end 500.000 dollars værd, et beløb som kun få enkeltpersoner eller endda organisationer simpelthen ligger rundt. Hackerne synes også at have en vis opfattelse af denne virkelighed, da de også har en plan for afpresning af backup. Ofre advares om, at hvis de ikke betaler løsesummen inden for 48 timer, vil oplysninger, der er blevet indsamlet fra systemet kompromitteret af AlumniLocker, blive offentliggjort på et specifikt udformet websted. Efter linket viser det imidlertid, at hjemmesiden på det tidspunkt, hvor AlumniLocker blev opdaget, var utilgængelig.

 Det ublu løsesum kombineret med det ikke-funktionelle lækage-websted er tegn på, at hackergruppen bag AlumniLocker kan være i sin barndom.