Недавно появившаяся группа Ransomuer использует инновационный способ оказать давление на своих жертв. Стрижая как $$$, группа недавно открыла новую платформу RAAS (Ransomware-As-A-Service) под названием Global Group. RAAS или Ransomero в качестве услуги — это бизнес -модель, используемая современными группами выкупа. В этом случае создатели уголовной схемы арендовали вредоносный кодекс и контрольную структуру других преступников против процента от выкупа, который они берут от своих жертв. Специалисты по безопасности PICUS первыми заметят их на русском хакерском форуме на языке под названием Ramp4u. Там $$$ рекламит свои услуги, объявляя, что они используют AI Chatbot в своей специализированной панели переговоров с жертвой.
PICUS проводит свое собственное расследование за $$$. Они изучают некоторые из вредоносных программ банды и ее выходной код, конфигурацию инфраструктуры и логику управления.
Global Group, основанная на PICUS, является преемником двух других кампаний Ransomur: Mamona Rip и Black Lock. Эксперты считают, что в целом Global Group на самом деле являются имитаторами, а не новаторами. «На каждом уровне контроль, операция, злонамеренная реализация своих программ, больше непрерывности и улучшения существующих элементов выявляются, а не инновации», — пишет Пикус. Помимо момента с ИИ чатботом.
После успешной атаки жертва доставляется на сайт группы TOR. В дополнение к списку жертв Global Group, также расположена диалоговая панель. Жертва находится под давлением приветствия Чатбота. Общение было создано с мыслью, что другая сторона не подготовлена технически. Кроме того, ей представлен таймер, который направлен на повышение психологического давления. PICUS смог добраться до записей общения, которые показывают, что выкуп иногда достигает семидюжественной суммы. PICUS добавляет, что использование автоматизации в этом случае имеет практические цели. Чатбот освобождает преступников от необходимости нанимать человека для переговоров, и они могут проводиться в любое время дня, независимо от часового пояса.
Что касается самой вредоносной программы, то это многоплатформа. Написанный на Голанге, он может быть разработан для атаки Linux, Windows и MacOS. Кроме того, его модальная структура позволяет удалять или добавлять функции во время компиляции. И, как и другие современные инструменты, он успешно атакует массивы Esxi, BSD и NAS. Что, пишет Пик, приближает ее к другому популярному вымогательству — черному лотосу. Подробнее о открытиях компании можно найти в отчете PICUS Security здесь.
