Ny Ransomware as a Service: Ghostlocker
En russisk baseret gruppe kendt som "GhostSec" (https://en.wikipedia.org/wiki/Ghost_Security
) har lanceret en ny Ransomware as a Service (RaaS) med navnet "Ghostlocker".
Der reklameres flere steder på Darkweb, og i hacking forums, med denne nye tjeneste som bl.a. sælges med følgende pitch: "is a revolutionary enterprise-grade locking software that prioritizes security and efficiency above all else". De kommunikerer primært via beskedtjenesten Telegram.
RaaS gør it-kriminalitet legende let!
RaaS kan anvendes af andre it-kriminelle og denne platform er identisk med tilsvarende services som findes derude. Den kommer med en nem "builder" til at udvikle den binære kode der afvikler ransomware payloaden, support og en SLA.
En annonce, som anvendes til at lokke it-kriminelle ind i denne RaaS, kan ses herunder:
Med adgang til denne tjeneste kan man bygge sin ransomware, som så skal finde vej til en windows maskine eller netværk, hvor den så kan eksekveres. Se videoklip herunder hvor payloaden afvikles i en virtuel maskine.
Når GhostLocker køres, vil den lokalt, og på tilgængelige drev, kryptere alle datafiler, og omdøbe dem til filendelsen .ghost.
Den frembringer, i vanlig ransomware stil, herefter en afpresningstekst:
Ghostlocker er blot endnu en RaaS platform som giver gode betingelser for it-kriminelle uden den store tekniske indsigt. Denne form for platforme gør det nemt at udføre ransomware angreb mod mål i vesten og med ingen eller kun ringe risiko for at blive draget til ansvar i den nuværende geopolitiske situation og et Europa i krig.
Sample hash: 139D210C68BD57025DF70D94570DECB5
Kilde: https://twitter.com/siri_urz/status/1711658092104945916