Τα θύματα του διαβόητου ransomware MeowCorp που βασίζεται στο Conti, έχουν τώρα πρόσβαση σε έναν δωρεάν αποκρυπτογράφο!
Ένα καινοτόμο εργαλείο αποκρυπτογράφησης για μια αναθεωρημένη έκδοση του ransomware Conti θα μπορούσε να προσφέρει σε εκατοντάδες θύματα την ευκαιρία να διασώσουν τα δεδομένα τους χωρίς κόστος.
Η υπηρεσία μας είναι συμβατή με δεδομένα που έχουν κρυπτογραφηθεί από ένα στέλεχος ransomware που εμφανίστηκε μετά την αποκάλυψη του πηγαίου κώδικα της Conti τον Μάρτιο του περασμένου έτους.
Δείτε επίσης: LockBit ransomware: Η συμμορία απειλεί να διαρρεύσει δεδομένα της Continental
Ζωή Κωνσταντοπούλου: Καταιγιστικές εξελίξεις για τον Alexander Vinnik
SecNewsTV 1 Αυγούστου, 7:56 πμ
12o Infocom Security 2022 - Παρουσιάσεις και συνεντεύξεις
SecNewsTV 7 Ιουλίου, 10:27 μμ
Ζωη Κωνσταντοπούλου: Εξελίξεις στο ΣΤΕ για τον Mr Bitcoin
SecNewsTV 18 Μαΐου, 1:06 μμ
Giannis Andreou LIVE : Crypto, NFT, Metaverse προβλέψεις
SecNewsTV 3 Μαρτίου, 12:57 πμ
LIVE: GoldDigger credential detection & PinataHub platform
SecNewsTV 29 Ιανουαρίου, 1:24 πμ
LIVE : SocialTruth project - Το σύστημα εντοπισμού fake news
SecNewsTV 1 Οκτωβρίου, 12:54 πμ
Εκατοντάδες θύματα κρυπτογραφημένα
Σε μια εντυπωσιακή ανακάλυψη, οι αρχές κυβερνοασφάλειας της Kaspersky ανακάλυψαν τη διαρροή 258 ιδιωτικών κλειδιών από μια τροποποιημένη έκδοση του ransomware Conti σε ένα φόρουμ που κατοικείται από κακόβουλους χάκερ.
Κατά τη διάρκεια του περασμένου έτους, μια ομάδα ransomware, γνωστή από ορισμένους ερευνητές ως MeowCorp, χρησιμοποίησε αυτή την παραλλαγή για να εξαπολύσει κυβερνοεπιθέσεις εναντίον ιδιωτικών και δημόσιων φορέων.
Τον Φεβρουάριο του 2022, ο Amigo-A, ειδικός σε θέματα ransomware, ενημέρωσε το BleepingComputer ότι οι κακόβουλοι φορείς εξέθεσαν δεδομένα σε ένα ρωσικό φόρουμ, τα οποία περιείχαν συνδέσμους προς ένα αρχείο που περιείχε εκτελέσιμα αρχεία και κλειδιά αποκρυπτογράφησης, καθώς και τον πηγαίο κώδικα για τα αποκρυπτογραφικά προγράμματα.
Μετά τη μελέτη των κλειδιών, η Kaspersky διαπίστωσε ότι οι χάκερ MeowCorp συνδέονται με μια έκδοση του Conti που βρέθηκε τον Δεκέμβριο του 2022. Στην πραγματικότητα, όμως, αυτό το στέλεχος κυκλοφορούσε από τον Αύγουστο!
Σύμφωνα με το BleepingComputer, ο κρυπτογράφος που βασίζεται στην Conti χρησιμοποιήθηκε κυρίως για τη στόχευση ρωσικών οργανισμών.
Δείτε επίσης: Google Search: Ήρθε το νέο continuous scrolling στα desktop
Οι ερευνητές διαπίστωσαν ότι ορισμένοι φάκελοι περιείχαν τόσο αποκρυπτογραφήματα που είχαν δημιουργηθεί εκ των προτέρων όσο και άλλα έγγραφα, όπως φωτογραφίες και αρχεία, τα οποία πιθανώς επιδείχθηκαν στα θύματα για να αποδειχθεί ότι η διαδικασία αποκρυπτογράφησης ήταν αποτελεσματική.
Συνολικά, αποκαλύφθηκαν 34 φάκελοι με σαφείς αναφορές σε θύματα κυβερνητικών οργανώσεων σε διάφορες ευρωπαϊκές και ασιατικές χώρες.
Σύμφωνα με τον Fedor Sinitsyn, επικεφαλής αναλυτή κακόβουλου λογισμικού στην Kaspersky Labs, τα ονόματα που περιέχονταν στους πρόσθετους φακέλους ήταν hashed ή encoded.
Με βάση αυτά τα ευρήματα και τον αριθμό των αποκρυπτογράφων που ήταν διαθέσιμοι στη διαρροή, η Kaspersky κατέληξε στο συμπέρασμα ότι 257 θύματα πιθανώς εκτέθηκαν σε ένα προσαρμοσμένο στέλεχος Conti, ενώ 14 άτομα αποφάσισαν να πληρώσουν για την ανάκτηση των δεδομένων τους.
Τα ιδιωτικά κλειδιά δημιουργήθηκαν από τις 13 Νοεμβρίου 2022 έως τις 5 Φεβρουαρίου 2023- αυτό μας δίνει μια εικόνα του χρονοδιαγράμματος των επιθέσεων. Όπως μας ενημέρωσε ο Sinitsyn, όσοι αναζήτησαν βοήθεια για την αποκρυπτογράφηση των αρχείων τους από την Kaspersky είχαν πιθανότατα παραβιαστεί μέσα στην ίδια περίοδο.
Η Kaspersky ενσωμάτωσε πρόσφατα τον κώδικα αποκρυπτογράφησης και 258 ιδιωτικά κλειδιά στο RakhniDecryptor, ένα εργαλείο που είναι αποτελεσματικό στην ανάκτηση αρχείων που έχουν κρυπτογραφηθεί από 24 στελέχη ransomware. Αυτό διευκολύνει τους χρήστες να διασώσουν τα δεδομένα τους με ελάχιστη απαιτούμενη προσπάθεια!
Δείτε επίσης: LockBit Green ransomware: Νέα έκδοση βασίζεται στον source code του Conti
Σύμφωνα με την Kaspersky, ο αποκρυπτογράφος είναι ικανός να αποκαταστήσει τα αρχεία που έχουν κρυπτογραφηθεί από την τροποποιημένη παραλλαγή Conti. Αυτή η έκδοση χρησιμοποιούσε ένα συγκεκριμένο μοτίβο ονόματος και επεκτάσεις.
- <file_name>.KREMLIN
- <file_name>.RUSSIA
- <file_name>.PUTIN
Πηγή πληροφοριών: bleepingcomputer.com