KUKANOS Ransomware

Изследователите на Infosec предупреждават потребителите за мощна заплаха за рансъмуер на име KUKANOS. Анализът на основния код и цялостното поведение на зловредния софтуер разкрива, че той е част от семейството на ransomware ZEPPELIN. Въпреки че е вариант на вече открита заплаха за рансъмуер, натрапчивите способности на KUKANOS могат да накарат жертвите му да се борят да се справят с последствията от атаката.

Като заплаха за рансъмуер, KUKANOS използва неразбиваем криптографски алгоритъм, за да заключи файловете на своите жертви. Въпреки че изглежда, че злонамереният софтуер е насочен специално към корпоративни субекти, той може също така лесно да бъде разгърнат срещу отделни потребители.

Първите признаци на атаката, които потребителите вероятно ще забележат, включват значителни промени в имената на криптираните файлове. Всеки заключен файл ще има '.@KUKANOS.[ID низ] добавен като ново файлово разширение. Идентификационният низ е уникален за всяка жертва на заплахата. Накрая на заразеното устройство ще бъде пусната бележка за откуп. Хакерите ще поставят инструкциите си в текстов файл с име '!!! ВСИЧКИ ВАШИ ФАЙЛОВЕ СА КРИПИРАНИ !!!.TXT.' Файлът ще бъде създаден на работния плот на системата.

Подробности за бележка за откуп

Бележката разкрива, че киберпрестъпниците зад заплахата KUKANOS Ransomware изпълняват схема за двойно изнудване. Освен че заключват данните на жертвите си, хакерите твърдят, че крадат и чувствителна корпоративна информация. Според бележката нападателите може да са получили данни за служителите, автобиографии, SSN, данни за клиенти, финансови отчети, банкови извлечения и др. Ако жертвите откажат да изпълнят исканията на хакерите, ексфилтрираните файлове ще бъдат публикувани.

За да получат допълнителни подробности като размера на откупа и начина, по който се предполага, че ще бъдат преведени средствата, жертвите са инструктирани да започнат контакт с нападателите. Очевидно колкото по-скоро се установи тази комуникация, толкова по-добри ще бъдат условията за изнудване. Бележката предоставя два различни канала за комуникация. Единият включва изпращане на имейл до „kukanossosanos@onionmail.org“. Като алтернатива, жертвите могат да инсталират приложението за чат ICQ и да изпращат съобщения до ICQ акаунта на киберпрестъпниците.

Пълният текст на бележката за откупа на KUKANOS е:

Здравей скъпи приятелю

За съжаление за вас, голяма слабост в ИТ сигурността ви остави отворени за атака, вашите файлове са криптирани
Ако искате да ги възстановите, пишете на нашата поща kukanossosanos@onionmail.org
Също така можете да пишете ICQ чат на живо, който работи 24/7 @KUKANOSSOSANOS
Инсталирайте софтуера ICQ на вашия компютър hxxps://icq.com/windows/ или в търсене на мобилен телефон в Appstore / Google market ICQ
Пишете на нашия ICQ @KUKANOSSOSANOS hxxps://icq.im/KUKANOSSOSANOS

Внимание!

• Не преименувайте криптирани файлове.
• Не се опитвайте да декриптирате данните си с помощта на софтуер на трета страна, това може да причини трайна загуба на данни.
• Винаги сме готови да си сътрудничим и да намерим най-добрия начин за решаване на вашия проблем.
• Колкото по-бързо пишете, толкова по-благоприятни ще бъдат условията за вас.
• Нашата компания цени своята репутация. Ние даваме всички гаранции за декриптирането на вашите файлове, като тестово декриптиране на някои от тях
  Уважаваме вашето време и чакаме отговор от ваша страна
  кажете своя уникален идентификационен номер:

Чувствителните данни във вашата система бяха ИЗТЕГЛЕНИ.
Ако НЕ ИСКАТЕ вашите чувствителни данни да бъдат ПУБЛИКУВАНИ, трябва да действате бързо.

Данните включват:

• Лични данни на служителите, автобиографии, DL, SSN.
• Пълна карта на мрежата, включително идентификационни данни за локални и отдалечени услуги.
• Частна финансова информация, включително: данни за клиенти, сметки, бюджети, годишни отчети, банкови извлечения.
• Производствени документи, включително: дейтаграми, схеми, чертежи във формат solidworks
• И още…