Sirattacker - один из последних вариантов Chaos ransomware. Впервые он был выпущен в середине февраля 2023 года. Несколько версий конструкторов Chaos ransomware доступны в подпольных сетях Dark Web, которые позволяют любому желающему генерировать Chaos ransomware с пользовательскими конфигурациями.
Sirattacker Ransomware
Sirattacker ransomware, вероятно, распространяется как приложение для майнинга Ethereum, поскольку все образцы включают значок файла Ethereum, а некоторые даже названы "ETH [3-значное число].exe".
Еще один вариант Chaos ransomware под названием "Bruh", также маскирующийся под генератор криптовалюты, был обнаружен на предыдущей неделе. Хотя очевидной связи между Sirattacker и Bruh ransomware нет, это любопытное совпадение.
После запуска Sirattacker ransomware шифрует файлы на машине жертвы и добавляет к их именам случайные четырехбуквенные расширения файлов. Старые варианты Chaos ransomware известны тем, что перезаписывают файлы размером более 2 117 152 байт случайными байтами, что делает восстановление файлов невозможным (если только пострадавшие файлы не были должным образом резервированы). В некоторых случаях злоумышленники требуют выкуп, зная, что большинство файлов невозможно восстановить. К счастью, образцы Sirattacker ransomware, похоже, были созданы с помощью более нового генератора Chaos ransomware, поскольку файлы большего размера шифруются, а не перезаписываются.
После того как файлы зашифрованы, Sirattacker выводит в командной строке уведомление о выкупе.
Затем программа заменяет обои рабочего стола своими собственными. Новые обои содержат сообщение, почти идентичное записке о выкупе, и просят жертву связаться со злоумышленником по электронной почте.
В настоящее время в кошельке Bitcoin, который использует Sirattacker ransomware, не осталось денег. Однако кошелек показывает, что в последней транзакции, записанной 24 февраля 2023 года, злоумышленник отправил небольшое количество биткойнов (0,00150106) на другой кошелек. Однако на момент написания этой статьи на этом кошельке находилось 538,57136296 биткойнов на сумму более 12 миллионов долларов.
В течение последних нескольких месяцев злоумышленник систематически вводил и выводил биткоин из кошелька. Например, 24 февраля 2023 года на кошелек злоумышленника было перечислено 35,13 долларов США. Эта сумма биткоина была переведена на другой кошелек в тот же день. Обратите внимание, что скриншоты были отредактированы, чтобы выделить транзакции злоумышленника.
Хотя нет никаких доказательств того, что эти транзакции связаны с программой Sirattacker ransomware, это потенциально указывает на то, что угрожающий агент Sirattacker ransomware активно занимался другой незаконной деятельностью в течение последних нескольких месяцев.
Indicators of Compromise
SHA256
- 75b45fea6000b6cb5e88b786e164c777c410e11fdcf1ff99b66b43096223d734
- a80908bcd96a8df6070eb9a9c83739c8d95c34d7d81b890bacda91bb05c53267
- b3be7cf75ded8a3dec4a78a9dcf32ff433ac5fa5743d5c27b77dd67f9d6a427b
- b8a277a731485717c01a7d20fb6af795fa823a219b9b01ee2f476889610a28da
- d4d7fb3c49feed626b24e5db8735547d7b244705342dcc301faafa0b9ac72bf1
- e6de7531d2c7900ff73b30e33170fd7530fb7771518503c65203b1a419a8d11e