Исследователи из SentinelOne обнаружили появление DeathGrip ransomware - Ransomware-as-a-Service (RaaS), предлагающей начинающим злоумышленникам сложные инструменты для работы с вымогательским ПО, включая LockBit 3.0 и Yashma/Chaos builders.
DeathGrip Ransomware
Такой легкий доступ к передовым инструментам привел к всплеску новых и вредоносных операций, и DeathGrip быстро стала заметным игроком в мире киберпреступности. Группа продвигает свои услуги через Telegram и другие подпольные форумы, а ее полезная нагрузка, созданная с использованием утечек конструкторов выкупного ПО, уже замечена в реальных атаках.
Распространение инструментов для создания ransomware, примером которых могут служить DeathGrip, IkaruzRT и NullBulge, привело к коммерциализации ransomware, позволяя даже тем, кто обладает минимальными техническими навыками, осуществлять полноценные атаки на ransomware. Программа DeathGrip предлагает такие возможности, как шифрование с использованием алгоритма AES-256 CGM, методы обхода защиты, манипуляции с системой, и рекламируется в нескольких каналах Telegram.
Полезная нагрузка выкупа, основанная на конструкторах LockBit и Chaos/Yashma, распространяется в виде самораспаковывающихся пакетов WinRAR и способна шифровать файлы, отображать записки с выкупом и изменять обои рабочего стола. Требования выкупа, связанные с DeathGrip ransomware, относительно невелики по сравнению с крупными операциями с выкупом, и группа была замечена в использовании различных тактик для манипуляций с восстановлением системы и удалением теневых копий тома.
По мере распространения таких групп, как DeathGrip, привлекательность готового выкупного ПО и кампаний, основанных на вымогательстве, растет в среде киберугроз, что приводит к увеличению числа мелких операторов угроз, использующих эти инструменты для значительной динамики атак.
Indicators of Compromise
URLs
- https://master-repogen.vercel.app/file/server.scr
- https://master-repogen.vercel.app/file/tmk.scr
SHA1
- 2d566a2b94fc8b16b97200392db1bbe714c31289
- 560065e8fbc3eb7743c74d3300d73db16141fd1f
- 96c375b9c57292db73c7ef2f2df16cf7be1604bb
- D24fc282fb660945b87e1c41860a031f6e7ec9f6
- Fc9548f91123e05196dad6bcab11d29abd01500c
