EndPoint ransomware
Az ASEC AhnLab elemzése az EndPoint (korábban Midnight) zsarolóvírus-családot mutatja be, amely a kiszivárgott Babuk ransomware forráskódjára épülő újabb variáns. A kártevő nemcsak Windows-rendszereket, hanem VMware ESXi és NAS környezeteket is célba vesz, és a klasszikus kettős zsarolás módszerét alkalmazza, az adatok titkosítása előtt adatlopást hajt végre, majd a kiszivárogtatással fenyegeti az áldozatot.
A fertőzött fájlok .endpoint kiterjesztést kapnak, a váltságdíj-üzenetben pedig a támadók uTox azonosítón keresztüli kapcsolatfelvételt kérnek. Az ASEC kiemeli, hogy a korábbi kampányokban használt egyik e-mail-cím (schipkealfred@gmail.com) korábban egy kelet-ázsiai kutatóintézet vezetőjének megszemélyesítésére szolgált, és azt 2024-ben észak-koreai kötődésű műveletekben is azonosították. Ez ugyan nem bizonyít közvetlen kapcsolatot, de érdekes infrastruktúra-átfedésre utalhat.
Technikai szempontból az EndPoint számos Babuk-jellemzőt megőrzött, több szálon végzi a titkosítást, leállítja a fájlokat zároló szolgáltatásokat és folyamatokat, valamint kihagy bizonyos rendszerkönyvtárakat a rendszer működőképességének fenntartása érdekében. A cél a gyors titkosítás és a helyreállítás megnehezítése.
Az ASEC értékelése szerint a Babuk forráskódjának kiszivárgása továbbra is új ransomware-család megjelenését segíti elő. A viszonylag egyszerűen adaptálható nyílt kódbázis lehetővé teszi új bűnözői csoportok számára saját zsarolóvírus-változatok gyors létrehozását, miközben a hangsúly egyre inkább az adatlopással kombinált zsarolási modellre helyeződik át.
