KUKANOS Ransomware

Infosec-tutkijat varoittavat käyttäjiä KUKANOS-nimisestä kiristysohjelmauhkasta. Haittaohjelman taustalla olevan koodin ja yleisen käyttäytymisen analyysi paljastaa, että se kuuluu ZEPPELINin kiristysohjelmien perheeseen. Huolimatta siitä, että KUKANOS on jo havaitun kiristysohjelmauhan muunnelma, sen tunkeilevat ominaisuudet voivat jättää uhrinsa ryöstämään hyökkäyksen seurauksista.

Kiristysohjelmauhkana KUKANOS käyttää murtumatonta salausalgoritmia lukitakseen uhriensa tiedostot. Vaikka haittaohjelma näyttää kohdistuvan nimenomaan yrityskokonaisuuksiin, se voidaan yhtä helposti ottaa käyttöön yksittäisiä käyttäjiä vastaan.

Ensimmäiset merkit hyökkäyksestä, jotka käyttäjät todennäköisesti huomaavat, sisältävät merkittäviä muutoksia salattujen tiedostojen nimiin. Jokaiseen lukittuun tiedostoon lisätään uutena tiedostopäätteenä '.@KUKANOS.[ID String]. Tunnusmerkkijono on yksilöllinen jokaiselle uhan uhrille. Lopuksi saastuneelle laitteelle pudotetaan lunnaat. Hakkerit sijoittavat ohjeensa tekstitiedostoon nimeltä '!!! KAIKKI TIEDOSTOSI OVAT SALATUJA !!!.TXT.' Tiedosto luodaan järjestelmän työpöydälle.

Ransom Note Yksityiskohdat

Muistiinpano paljastaa, että KUKANOS Ransomware -uhan takana olevat kyberrikolliset harjoittavat kaksinkertaista kiristysjärjestelmää. Sen lisäksi, että hakkerit lukitsevat uhriensa tiedot, he väittävät myös varastavansa arkaluonteisia yritystietoja. Muistiinpanon mukaan hyökkääjät ovat saattaneet hankkia työntekijöiden tiedot, CV:t, SSN:n, asiakkaiden tiedot, talousraportit, tiliotteet ja paljon muuta. Jos uhrit kieltäytyvät täyttämästä hakkereiden vaatimuksia, suodatetut tiedostot julkaistaan.

Saadakseen lisätietoja, kuten lunnaiden suuruuden ja varojen siirtämisen, uhreja kehotetaan ottamaan yhteyttä hyökkääjiin. Ilmeisesti mitä pian kommunikointi saadaan aikaan, sitä paremmat ovat kiristyksen ehdot. Muistiinpano tarjoaa kaksi erilaista viestintäkanavaa. Yksi niistä on sähköpostin lähettäminen osoitteeseen kukanossosanos@onionmail.org. Vaihtoehtoisesti uhrit voivat asentaa ICQ-chat-sovelluksen ja lähettää viestin kyberrikollisten ICQ-tilille.

KUKANOS-lunnasilmoituksen koko teksti on:

Hei rakas ystäväni

Valitettavasti suuri IT-tietoturvaheikkous jätti sinut avoimeksi hyökkäyksille, tiedostosi on salattu
Jos haluat palauttaa ne, kirjoita sähköpostiimme kukanossosanos@onionmail.org
Voit myös kirjoittaa ICQ live chatiin, joka toimii 24/7 @KUKANOSSOSANOS
Asenna ICQ-ohjelmisto tietokoneellesi hxxps://icq.com/windows/ tai matkapuhelimesi hakuun Appstoressa / Google Market ICQ
Kirjoita ICQ:lle @KUKANOSSOSANOS hxxps://icq.im/KUKANOSSOSANOS

Huomio!

• Älä nimeä salattuja tiedostoja uudelleen.
• Älä yritä purkaa tietojesi salausta kolmannen osapuolen ohjelmistolla, se voi aiheuttaa pysyvän tietojen menetyksen.
• Olemme aina valmiita tekemään yhteistyötä ja löytämään parhaan tavan ratkaista ongelmasi.
• Mitä nopeammin kirjoitat, sitä edullisemmat olosuhteet ovat sinulle.
• Yrityksemme arvostaa mainetta. Annamme kaikki takuut tiedostojesi salauksen purkamisesta, kuten joidenkin tiedostojen salauksen testaus
  Kunnioitamme aikaasi ja odotamme vastausta puoleltasi
  kerro yksilöllinen tunnuksesi:

Järjestelmäsi arkaluonteiset tiedot LADATTU.
Jos et HALUA, että arkaluontoisia tietojasi JULKAISEE, sinun on toimittava nopeasti.

Data sisältää:

• Työntekijöiden henkilötiedot, CV:t, DL, SSN.
• Täydellinen verkkokartta, joka sisältää tunnistetiedot paikallisia ja etäpalveluita varten.
• Yksityiset taloustiedot, mukaan lukien: asiakastiedot, laskut, budjetit, vuosikertomukset, tiliotteet.
• Valmistusasiakirjat mukaan lukien: datagrammit, skeemat, piirustukset solidworks-muodossa
• Ja enemmän…