KUKANOS Ransomware

Badacze Infosec ostrzegają użytkowników przed poważnym zagrożeniem ransomware o nazwie KUKANOS. Analiza kodu i ogólnego zachowania szkodliwego oprogramowania ujawnia, że należy ono do rodziny ransomware ZEPPELIN. Pomimo tego, że jest to wariant już wykrytego zagrożenia ransomware, inwazyjne możliwości KUKANOS mogą sprawić, że ofiary będą musiały zmagać się z konsekwencjami ataku.

Jako zagrożenie typu ransomware, KUKANOS wykorzystuje niemożliwy do złamania algorytm kryptograficzny do blokowania plików swoich ofiar. Chociaż wydaje się, że złośliwe oprogramowanie jest ukierunkowane konkretnie na podmioty korporacyjne, równie łatwo można je wdrożyć przeciwko indywidualnym użytkownikom.

Pierwsze oznaki ataku, które prawdopodobnie zauważą użytkownicy, obejmują znaczące zmiany w nazwach zaszyfrowanych plików. Każdy zablokowany plik będzie miał dodany '.@KUKANOS.[ciąg ID] jako nowe rozszerzenie pliku. Ciąg identyfikatora jest unikalny dla każdej ofiary zagrożenia. Na końcu na zainfekowane urządzenie zostanie upuszczony notatka z żądaniem okupu. Hakerzy umieszczą swoje instrukcje w pliku tekstowym o nazwie '!!! WSZYSTKIE TWOJE PLIKI SĄ ZASZYFROWANE !!!.TXT.' Plik zostanie utworzony na pulpicie systemu.

Szczegóły dotyczące okupu

Notatka ujawnia, że cyberprzestępcy stojący za zagrożeniem KUKANOS Ransomware stosują schemat podwójnego wymuszenia. Oprócz blokowania danych swoich ofiar hakerzy twierdzą również, że kradną poufne informacje korporacyjne. Zgodnie z notatką, osoby atakujące mogły uzyskać dane pracowników, CV, SSN, dane klientów, raporty finansowe, wyciągi bankowe i inne. Jeśli ofiary odmówią spełnienia żądań hakerów, eksfiltrowane pliki zostaną udostępnione opinii publicznej.

Aby otrzymać dodatkowe informacje, takie jak wysokość okupu i sposób transferu środków, ofiary są instruowane, aby nawiązać kontakt z atakującymi. Najwyraźniej im szybko zostanie nawiązana komunikacja, tym lepsze będą warunki wymuszenia. Notatka udostępnia dwa różne kanały komunikacji. Jeden polega na wysłaniu e-maila na adres „kukanossosanos@onionmail.org”. Alternatywnie, ofiary mogą zainstalować aplikację czatu ICQ i wysłać wiadomość na konto ICQ cyberprzestępców.

Pełny tekst żądania okupu KUKANOS to:

Witaj mój drogi przyjacielu

Na nieszczęście dla Ciebie, poważna słabość bezpieczeństwa IT naraziła Cię na atak, Twoje pliki zostały zaszyfrowane
Jeśli chcesz je przywrócić, napisz na naszą pocztę kukanossosanos@onionmail.org
Możesz także pisać czat na żywo ICQ, który działa 24/7 @KUKANOSSOSANOS
Zainstaluj oprogramowanie ICQ na swoim komputerze hxxps://icq.com/windows/ lub wyszukaj w telefonie komórkowym w Appstore / Google market ICQ
Napisz do naszego ICQ @KUKANOSSOSANOS hxxps://icq.im/KUKANOSSOSANOS

Uwaga!

• Nie zmieniaj nazw zaszyfrowanych plików.
• Nie próbuj odszyfrowywać danych za pomocą oprogramowania innych firm, może to spowodować trwałą utratę danych.
• Jesteśmy zawsze gotowi do współpracy i znalezienia najlepszego sposobu na rozwiązanie Twojego problemu.
• Im szybciej napiszesz, tym korzystniejsze będą dla Ciebie warunki.
• Nasza firma ceni swoją reputację. Dajemy wszelkie gwarancje odszyfrowania Twoich plików, takie jak odszyfrowanie testowe niektórych z nich
  Szanujemy Twój czas i czekamy na odpowiedź z Twojej strony
  podaj swój unikalny identyfikator:

Poufne dane w Twoim systemie zostały POBRANE.
Jeśli NIE CHCESZ, ŻEBY TWOJE POUFNE DANYCH BYŁY OPUBLIKOWANE, musisz działać szybko.

Dane obejmują:

• Dane osobowe pracowników, CV, DL, SSN.
• Kompletna mapa sieci zawierająca dane uwierzytelniające dla usług lokalnych i zdalnych.
• Prywatne informacje finansowe obejmujące: dane klientów, rachunki, budżety, raporty roczne, wyciągi bankowe.
• Dokumenty produkcyjne w tym: datagramy, schematy, rysunki w formacie solidworks
• I więcej…