PE32 Ransomware – a Telegram-alapú fenyegetés
A ransomware-ekből manapság nincs hiány. Mindenhol ott vannak, legyen szó e-mail mellékletekről vagy feltört szoftverekről. Míg egyes ransomware csoportok eltűnnek vagy új nevet kapnak, új csoportok lépnek a helyükre. Az egyik legfrissebb ransomware törzs a PE32 Ransomware, amely gyorsan felhívta magára a figyelmet az interneten. Amatőr kivitelezése ellenére sikerül titkosítania fájlokat, Telegramon keresztül kommunikálni és valódi károkat képes okozni.
Az ANY.RUN-on megjelent elemzés szerint a PE32 jellemzői a gyors titkosítás, az egyedi váltságdíj beállítás (két fizetési szint), a Telegram használata C2-ként, a könnyű elemzés, a rendetlen és zajos működés, valamint a rejtett működés és obfuszkálás hiánya.
A PE32 zsarolóvírus-kampány a nem túl kifinomult felépítése ellenére is jelentős kockázatokat rejt magában. A végfelhasználók oldaláról az egyéb ransomware-ekkel megegyező kockázatok merülhetnek fel, így az adatvesztés és a váltságdíjkövetelések által jelentett nyomás. A kettős fizetési modell további pszichológiai terhet jelent az áldozatokra nézve (bár a PE32 jelenleg nem képes az adatok kiszivárogtatására). A Telegram C2-csatornaként való használata a kiszámíthatatlan viselkedéssel kombinálva megnehezítheti a felderítést és a reagálást. A nyilvános kommunikációs csatornákra való támaszkodás új monitorozási és containment kihívásokat is jelent.
A PE32 rávilágít az alacsony ráfordítású, gyorsan telepíthető ransomware törzsek irányába mutató tendenciára, amelyeket minimális obfuszkálással, általános eszközökre támaszkodva hoztak létre, de mégis képesek kárt okozni. Nyílt infrastruktúrája és a kódolása hozzáférhetővé teszi az opportunista kiberszereplők és a copycat-ek számára.
