Industrial Spy er en markedsplads der nu har lanceret sin egen ransomware operation, hvor de nu også krypterer ofrets enheder.
Markedspladsen gør det muligt for trusselsaktører og muligvis endda forretningskonkurrenter at købe data stjålet fra virksomheder.
Markedspladsen ligger på Darknet og kan derfor ikke findes ved Google søgning. Denne markedsplads sælger forskellige typer stjålne data, lige fra at sælge ‘premium’ data for millioner af dollars til individuelle filer for så lidt som $ 2.
For at fremme deres service, har disse trusselsaktører samarbejdede med adware-downloadere og falske crack-websteder for at distribuere malware, der ville skabe README.txt filer på en enhed.
Trusselsaktørerne brugte disse filer til at promovere deres markedsplads og forklarede, at læsere kan købe ordninger, tegninger, teknologier, politiske og militære hemmeligheder, regnskabsrapporter og klientdatabaser fra deres konkurrenter.
Industrial Spy starter nu egen Ransomware
Et er tyveri af data, noget andet er at kryptere data og kræve penge på den måde som Ransomware fungerer. I sidste uge, fandt sikkerhedsforsker MalwareHunterTeam en Industrial Spy-malware med, hvad der lignede mere en løsesumnote snarere end en salgsfremmende tekstfil.
Denne løsesum notat nu hedder det, at Industrial Spy trussel aktører ikke kun stjal offerets data, men også krypterede data.
“Desværre er vi nødt til at rapportere dig, at din virksomhed blev kompromitteret. Alle dine filer blev krypteret, og du kan ikke gendanne dem uden vores private nøgle. Forsøger at gendanne det uden vores hjælp kan forårsage fuldstændigt tab af dine data,” Skriver Industrial Spy løsesum notat delt nedenfor.
“Vi undersøgte også hele dit virksomhedsnetværk og downloadede alle dine følsomme data til vores servere. Hvis vi ikke får nogen kontakt fra dig inden for 3 næste dage, offentliggør vi dine data på webstedet ‘Industrial Spy Market’.”
MalwareHunterTeam delte malware-prøven med BleepingComputer for at bekræfte, om den krypterede filer, som det sagde. BleepingComputers tests viste, at Industrial Spy ransomware faktisk krypterer filer, men i modsætning til de fleste andre ransomware-familier, tilføjer ikke en ny udvidelse til krypterede filnavne, som vist nedenfor
Den ransomware bruger også en filemarker af 0xFEEDBEEF, som vi ikke har set før i en ransomware familie. Denne filmarkør bør dog ikke forveksles med 0xDEADBEEF; en velkendt fejlretningsvværdi, der alene bruges til programmering. Mens kryptering af filer, den Industrial Spy ransomware vil skabe ovenstående løsesum notat navngivet ‘README.html‘ i hver mappe på enheden. Disse løsesum noter indeholder et TOX id, som ofrene kan bruge til at kontakte ransomware bande og forhandle en løsesum.
Et mulig forbindelse til Cuba ransomware?
Når man undersøger TOX ID og e-mail-adresse, der findes i løsesumnoten, MalwareHunterTeam opdagede en mærkelig forbindelse til Cuba ransomware-operationen.
En ransomware prøve uploadet til VirusTotal skaber en løsesum notat med en identisk TOX ID og e-mail-adresse. Men, i stedet for at linke til Industrial Spy Tor-webstedet, det linker til Cuba Ransomwares datalækagewebsted og bruger det samme filnavn, !! README. txt, som de kendte Cuba løsesum noter.
Endvidere, har de krypterede filer .cuba udvidelse vedlagt dem, ligesom den almindelige Cuba ransomware operation gør, når kryptere filer.
Selvom dette ikke 100% binder de to grupper sammen, er det meget muligt, at Industrial Spy-trusselsaktørerne simpelthen brugte Cubas oplysninger, mens de testede oprettelsen af deres ransomware.
Men, det er ejendommeligt og noget, som sikkerhedsforskere og analytikere bliver nødt til at holde øje med.
Kilde: Bleebing Computer
Fotokredit: stock.adobe.com
