Επαγγελματίες και ενθουσιώδεις χρήστες κρυπτονομισμάτων έπεσαν θύματα μιας εξελιγμένης κυβερνοεπίθεσης που ενορχηστρώθηκε μέσω μιας κακόβουλης χρήσης της δημοφιλούς εφαρμογής Calendly, που χρησιμοποιείται για τον προγραμματισμό ραντεβού και συναντήσεων. Κακόβουλοι φορείς ενσωματώνουν επιβλαβείς συνδέσμους στα ημερολόγια των χρηστών στο Calendly, οδηγώντας στην εγκατάσταση κακόβουλου λογισμικού σε συστήματα macOS όταν κάνουν κλικ. Οι επιτιθέμενοι, που εμφανίζονται ως γνωστοί επενδυτές κρυπτονομισμάτων, προγραμματίζουν κλήσεις τηλεδιάσκεψης για να συζητήσουν πιθανές επενδύσεις. Μόλις το θύμα κάνει κλικ στον παρεχόμενο σύνδεσμο, εκτελείται ένα σενάριο, εγκαθιστώντας αθόρυβα κακόβουλο λογισμικό στο σύστημα του θύματος.

Το σύστημα ήρθε στο φως όταν ένα άτομο ανέφερε τη συνάντησή του με έναν επιτιθέμενο στον κυβερνοχώρο που παρίστανε τον Ian Lee από την Signum Capital στο Telegram. Ο μιμητής εξέφρασε ενδιαφέρον για την υποστήριξη της startup blockchain του Doug, ζητώντας μια βιντεοκλήση που είχε προγραμματιστεί μέσω του Calendly. Όταν ο Doug έκανε κλικ στον σύνδεσμο που παρείχε ο απατεώνας, εκτελέστηκε ένα σενάριο, το οποίο φέρεται να εγκατέστησε κακόβουλο λογισμικό. Στη συνέχεια, οι επιτιθέμενοι προσποιήθηκαν τεχνικά προβλήματα, παρέχοντας έναν εναλλακτικό σύνδεσμο που οδηγούσε επίσης σε μια μη λειτουργική εφαρμογή τηλεδιάσκεψης.

Το κακόβουλο σενάριο, μόλις εκτελεστεί, κατεβάζει ένα trojan που έχει σχεδιαστεί για να εκτελείται σε συστήματα macOS. Ενώ ο Doug αντέδρασε λογικά, διασφαλίζοντας τα δεδομένα του, αλλάζοντας τους κωδικούς πρόσβασης και επανεγκαθιστώντας το macOS, οι συγκεκριμένες λεπτομέρειες του κακόβουλου λογισμικού δεν παραμένουν διαθέσιμες. Ωστόσο, μια παρόμοια περίπτωση που αναφέρθηκε από την εταιρεία ασφάλειας κρυπτονομισμάτων SlowMist τον Δεκέμβριο του 2023 συνέδεσε μια βορειοκορεατική ομάδα hacking με την ονομασία BlueNoroff, μια υποομάδα της Lazarus, με μια επίθεση phishing μέσω της λειτουργίας "Προσθήκη προσαρμοσμένου συνδέσμου" του Calendly.

Η αυξανόμενη συχνότητα κακόβουλου λογισμικού που στοχεύει στο macOS χρησιμεύει ως υπενθύμιση ότι οι χρήστες Mac πρέπει να είναι προσεκτικοί και να μην βασίζονται αποκλειστικά σε εργαλεία ασφαλείας. Η συμβουλή παραμένει να επαληθεύουν τις νέες επαφές, να αποφεύγουν την εγκατάσταση μη ζητούμενου λογισμικού και να εξετάζουν εξονυχιστικά τις ενημερώσεις πριν συμμετάσχουν σε προγραμματισμένες τηλεδιασκέψεις. Καθώς ο χώρος των κρυπτονομισμάτων γίνεται πρωταρχικός στόχος για απειλές στον κυβερνοχώρο, η επαγρύπνηση είναι ζωτικής σημασίας για τον μετριασμό των πιθανών κινδύνων και την προστασία των ευαίσθητων πληροφοριών.

Η κυβέρνηση Μπάιντεν καλεί τους προγραμματιστές λογισμικού να δώσουν προτεραιότητα στις γλώσσες προγραμματισμού που είναι ασφαλείς ως προς τη μνήμη έναντι των ευάλωτων, όπως η C και η C++, με στόχο την ενίσχυση της κυβερνοασφάλειας και τη μείωση του κινδύνου κυβερνοεπιθέσεων. Το Γραφείο του Εθνικού Διευθυντή Κυβερνοχώρου (ONCD) δημοσίευσε έκθεση στην οποία τονίζεται η σημασία της υιοθέτησης γλωσσών χωρίς τρωτά σημεία ασφάλειας μνήμης. Οι γλώσσες προγραμματισμού με ασφάλεια μνήμης, όπως η Rust, προστατεύουν από σφάλματα λογισμικού και ευπάθειες που σχετίζονται με την πρόσβαση στη μνήμη, μειώνοντας σημαντικά τον κίνδυνο εμφάνισης προβλημάτων ασφαλείας. Η έκθεση επιδιώκει να μεταφέρει την ευθύνη για την ασφάλεια στον κυβερνοχώρο από τα άτομα και τις μικρές επιχειρήσεις στους μεγάλους οργανισμούς, τις εταιρείες τεχνολογίας και την κυβέρνηση, δίνοντας έμφαση στην ικανότητά τους να διαχειρίζονται τις εξελισσόμενες απειλές.

Η έκθεση του ONCD προσδιορίζει τη C και τη C++ ως παραδείγματα γλωσσών προγραμματισμού με τρωτά σημεία στην ασφάλεια της μνήμης, ενώ επισημαίνει τη Rust ως ασφαλή εναλλακτική λύση. Αξίζει να σημειωθεί ότι πρόσφατες μελέτες της Microsoft και της Google αποκάλυψαν ότι περίπου το 70% των ευπαθειών ασφαλείας προέρχεται από θέματα ασφάλειας μνήμης. Η κίνηση προς γλώσσες προγραμματισμού με ασφάλεια μνήμης ευθυγραμμίζεται με τον ευρύτερο στόχο της αναμόρφωσης των πρακτικών κυβερνοασφάλειας και της προώθησης της συνεργασίας μεταξύ του ιδιωτικού τομέα, των εταιρειών τεχνολογίας, της ακαδημαϊκής κοινότητας και της κυβέρνησης. Αναγνωρίζοντας τις προκλήσεις της μετάβασης από ευρέως χρησιμοποιούμενες γλώσσες όπως η C και η C++, η έκθεση στοχεύει στην προώθηση πρακτικών και ώριμων εναλλακτικών λύσεων, σηματοδοτώντας μια κομβική στιγμή για την ενίσχυση των πρακτικών ασφάλειας λογισμικού.

Σύμφωνα με την έκθεση, περίπου το 22% των προγραμματιστών λογισμικού χρησιμοποιεί τη C++ και το 19% τη C, από το 2023. Η πρωτοβουλία του ONCD ευθυγραμμίζεται με την έκκληση του αμερικανικού Οργανισμού Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) για γλώσσες με ασφάλεια μνήμης σε ανάρτηση στο ιστολόγιο του Σεπτεμβρίου. Η ώθηση του Λευκού Οίκου για γλώσσες προγραμματισμού με ασφάλεια μνήμης υπογραμμίζει την επείγουσα ανάγκη αντιμετώπισης των ευπαθειών της κυβερνοασφάλειας, τονίζοντας την ανάγκη για συνεργασία σε επίπεδο βιομηχανίας και μια διαρκή προσπάθεια για την ιεράρχηση ασφαλών πρακτικών κωδικοποίησης.

Κατά τη διάρκεια του Σαββατοκύριακου, η ομάδα ransomware LockBit επανεμφανίστηκε με μια νέα τοποθεσία διαρροής, σηματοδοτώντας μια προσπάθεια αποκατάστασης των λειτουργιών της μετά από μια σημαντική κατάρριψη από την επιβολή του νόμου στις 19 Φεβρουαρίου. Η δράση των αρχών επιβολής του νόμου περιελάμβανε την κατάσχεση 34 διακομιστών, την κατάληψη των ιστότοπων διαρροών που βασίζονται στο Tor, τη δέσμευση λογαριασμών κρυπτονομισμάτων και την απόκτηση 1.000 κλειδιών αποκρυπτογράφησης για να βοηθηθούν τα θύματα χωρίς την καταβολή λύτρων. Δύο άτομα που σχετίζονται με την LockBit συνελήφθησαν και η κυβέρνηση των ΗΠΑ ανακοίνωσε αμοιβές και κατηγορίες εναντίον της ομάδας ransomware.

Ο νέος ιστότοπος διαρροής, που εγκαινιάστηκε από ένα άτομο γνωστό ως "LockBitSupp", απαριθμεί εκατοντάδες οργανώσεις θυμάτων και παρέχει πληροφορίες σχετικά με την προοπτική της ομάδας για την κατάσχεση από την επιβολή του νόμου. Το LockBitSupp αποδίδει την κατάληψη των ευάλωτων ιστότοπων σε ένα ελάττωμα της PHP, αλλά ισχυρίζεται ότι οι ιστότοποι που δεν τη χρησιμοποιούν παρέμειναν ανεπηρέαστοι. Το μήνυμα στον ιστότοπο της διαρροής υποδηλώνει ότι η κατάσχεση προκλήθηκε από το hack του Ιανουαρίου στην κομητεία Fulton της Τζόρτζια και επικρίνει τον χειρισμό της επιχείρησης.

Η LockBitSupp αναγνωρίζει τις προκλήσεις που αντιμετωπίζει η LockBit, συμπεριλαμβανομένων των τεχνικών δυσκολιών με τις τοποθεσίες διαρροής, των καθυστερήσεων στην κυκλοφορία μιας νέας παραλλαγής ransomware και των δυσκολιών στην προσέλκυση και διατήρηση συνεργατών. Παρά το γεγονός ότι η LockBit αντιπροσωπεύει περίπου το 25% των επιθέσεων ransomware κατά το τελευταίο έτος, η φήμη της έχει υποχωρήσει και αντιμετωπίζει προβλήματα με την πρόσληψη συνεργατών. Η ομάδα κάλεσε πρόσφατα συνεργάτες από αντίπαλες ομάδες να ενταχθούν στη LockBit, γεγονός που σηματοδοτεί πιθανή απελπισία.

Ενώ το LockBitSupp έχει αντιμετωπίσει προβλήματα αξιοπιστίας σε "υπόγεια" φόρουμ, φαίνεται ότι η ομάδα ransomware ετοιμάζεται να κυκλοφορήσει μια νέα έκδοση με την ονομασία LockBit-NG-Dev. Αυτό το κακόβουλο λογισμικό που βασίζεται στο .NET και βρίσκεται ακόμη υπό ανάπτυξη, είναι ανεξάρτητο από πλατφόρμες, λιγότερο εξελιγμένο από τις προηγούμενες εκδόσεις και δεν έχει δυνατότητες αυτοδιάδοσης. Ωστόσο, έχει τη δυνατότητα να εξελιχθεί σε LockBit 4.0.

Οι ειδικοί σε θέματα κυβερνοασφάλειας εκφράζουν σκεπτικισμό σχετικά με την ικανότητα της LockBit να ανοικοδομήσει αποτελεσματικά την υποδομή της, επικαλούμενοι τεχνικές ελλείψεις και την αποχώρηση σημαντικού προσωπικού. Η RedSense, μια εταιρεία πληροφοριών απειλών, προτείνει ότι μια "ομάδα-φάντασμα" με το όνομα Zeon, που αποτελείται από πρώην χειριστές της Conti, είναι ο πραγματικός εγκέφαλος πίσω από το LockBit. Η κατάρριψη της επιχείρησης επέφερε σημαντικό πλήγμα στη Zeon, η οποία μπορεί να στρέψει την προσοχή της σε άλλες επιχειρήσεις ransomware, αφήνοντας το LockBit σε μια θέση που είναι απίθανο να ανακάμψει πλήρως.

Καθώς η LockBit προσπαθεί να ξεπεράσει τα επακόλουθα της δράσης των διωκτικών αρχών, η κοινότητα κυβερνοασφάλειας παραμένει σε εγρήγορση, αξιολογώντας τις πιθανές επιπτώσεις της αναζωπύρωσης της ομάδας και του εξελισσόμενου τοπίου των απειλών ransomware.

Στον απόηχο της πρόσφατης διεθνούς καταστολής του LockBit, ενός διαβόητου συνδικάτου ransomware, ερευνητές ασφαλείας ανακάλυψαν μια νέα σειρά επιθέσεων που εκμεταλλεύονται κρίσιμα τρωτά σημεία στο ScreenConnect, μια εφαρμογή απομακρυσμένης επιφάνειας εργασίας που αναπτύχθηκε από την Connectwise. Οι επιθέσεις, που εντοπίστηκαν μέσα στις τελευταίες 24 ώρες, αξιοποιούν δύο σημαντικές ευπάθειες στο ScreenConnect, οδηγώντας στην εγκατάσταση του ransomware LockBit και άλλων κακόβουλων προγραμμάτων μετά την εκμετάλλευση.

Οι ερευνητές της SophosXOps και της Huntress, οι οποίοι εντόπισαν τις τελευταίες επιθέσεις, δεν έχουν επιβεβαιώσει οριστικά αν το ransomware που εγκαθίσταται είναι η επίσημη έκδοση LockBit ή μια παραλλαγή που διέρρευσε από έναν δυσαρεστημένο insider το 2022. Ο κατασκευαστής που διέρρευσε κυκλοφόρησε ευρέως, προκαλώντας μια σειρά από επιθέσεις αντιγραφής που λειτουργούν ανεξάρτητα από την επίσημη επιχείρηση LockBit.

Ο John Hammond, επικεφαλής ερευνητής ασφάλειας στην Huntress, τόνισε την ευρεία εμβέλεια του LockBit, που εκτείνεται σε διάφορες "θυγατρικές" ομάδες και παρακλάδια που κατάφεραν να επιμείνουν παρά την πρόσφατη κατάσχεση από τις διωκτικές αρχές. Οι τομείς που επηρεάζονται περιλαμβάνουν κτηνιατρεία, κλινικές υγείας και τοπικές κυβερνήσεις, ενώ αναφέρθηκαν επιθέσεις που στόχευαν ακόμη και συστήματα που σχετίζονται με τις υπηρεσίες έκτακτης ανάγκης 911.

Οι πρόσφατες ενέργειες κατά της LockBit, που συντονίστηκαν από τις αρχές του Ηνωμένου Βασιλείου, των ΗΠΑ και της Europol, περιλάμβαναν την κατάσχεση του ελέγχου 14.000 λογαριασμών και 34 διακομιστών, τη σύλληψη υπόπτων, την έκδοση κατηγορητηρίων και ενταλμάτων σύλληψης και τη δέσμευση 200 λογαριασμών κρυπτονομισμάτων που συνδέονται με την επιχείρηση ransomware. Παρά τη μεγάλη αναστάτωση, φαίνεται ότι η ομάδα ransomware πραγματοποιεί επιστροφή, αναπτύσσοντας επιθέσεις εναντίον κρίσιμων τομέων.

Ο τεράστιος αριθμός των θυγατρικών ομάδων, σε συνδυασμό με την ποικιλόμορφη γεωγραφική και οργανωτική κατανομή τους, καθιστά δύσκολη την πλήρη εξουδετέρωση όλων των πιθανών απειλών που σχετίζονται με το LockBit. Παραμένει ασαφές αν οι συνεχιζόμενες επιθέσεις ενορχηστρώνονται από τις εναπομείνασες θυγατρικές που σηματοδοτούν τη συνέχιση του franchise ransomware ή από μη συνδεδεμένους φορείς με διαφορετικά κίνητρα.

Εκτός από το ransomware LockBit, οι επιτιθέμενοι αναπτύσσουν διάφορες άλλες κακόβουλες εφαρμογές, όπως η κερκόπορτα Cobalt Strike, ανθρακωρύχοι κρυπτονομισμάτων και σήραγγες SSH για απομακρυσμένη πρόσβαση σε εκτεθειμένες υποδομές.

Οι ευπάθειες στο ScreenConnect που αξιοποιούνται εντοπίζονται ως CVE-2024-1708 και CVE-2024-1709. Η ConnectWise, η εταιρεία ανάπτυξης του ScreenConnect, έχει κυκλοφορήσει διορθωτικά patches για όλες τις ευάλωτες εκδόσεις, συμπεριλαμβανομένων εκείνων που δεν υποστηρίζονται πλέον ενεργά. Οι οργανισμοί καλούνται να εφαρμόσουν άμεσα αυτά τα διορθωτικά στοιχεία για να μειώσουν τον κίνδυνο να πέσουν θύματα των συνεχιζόμενων επιθέσεων που σχετίζονται με το LockBit.

Μια πρωτοποριακή επίθεση στη βιομετρική ασφάλεια αποκαλύφθηκε από μια συνεργαζόμενη ομάδα ερευνητών από την Κίνα και τις ΗΠΑ, παρουσιάζοντας μια νέα απειλή για το ευρέως αξιόπιστο σύστημα αυτόματης αναγνώρισης δακτυλικών αποτυπωμάτων (AFIS). Η επίθεση, γνωστή ως PrintListener, διερευνά μια προσέγγιση, αξιοποιώντας τα ιδιαίτερα χαρακτηριστικά του ήχου που παράγεται όταν ένας χρήστης σαρώνει το δάχτυλό του σε μια οθόνη αφής.

Το ερευνητικό έγγραφο με τίτλο "PrintListener: Uncovering the Vulnerability of Fingerprint Authentication via the Finger Friction Sound", περιγράφει τη μεθοδολογία που κρύβεται πίσω από αυτή την καινοτόμο επίθεση από παράπλευρο κανάλι στην ασφάλεια βιομετρικών δακτυλικών αποτυπωμάτων. Αναλύοντας τον ήχο που παράγεται κατά τη διάρκεια των ενεργειών σάρωσης του δακτύλου σε οθόνες αφής, οι ερευνητές ισχυρίζονται ότι μπορούν να εξάγουν χαρακτηριστικά μοτίβου δακτυλικών αποτυπωμάτων με επιτυχία σε ένα σημαντικό ποσοστό μερικών και πλήρων δακτυλικών αποτυπωμάτων μέσα σε περιορισμένο αριθμό προσπαθειών.

Οι ερευνητές υποστηρίζουν ότι το PrintListener μπορεί να στοχεύσει "έως και το 27,9% των μερικών δακτυλικών αποτυπωμάτων και το 9,3% των πλήρων δακτυλικών αποτυπωμάτων εντός πέντε προσπαθειών στην υψηλότερη ρύθμιση ασφαλείας FAR [False Acceptance Rate] 0,01%". Αυτό αντιπροσωπεύει μια σημαντική πρόοδο στις επιθέσεις πλευρικού καναλιού σε συστήματα ελέγχου ταυτότητας δακτυλικών αποτυπωμάτων.

Η βιομετρική ασφάλεια δακτυλικών αποτυπωμάτων είναι διάχυτη και θεωρείται εξαιρετικά αξιόπιστη, με την αγορά να προβλέπεται να φτάσει σχεδόν τα 100 δισεκατομμύρια δολάρια μέχρι το 2032. Η επίθεση PrintListener, ωστόσο, εισάγει ένα νέο επίπεδο ευπάθειας, εκμεταλλευόμενη τον ήχο των ενεργειών σάρωσης του δακτύλου που καταγράφονται από τους επιτιθέμενους στο διαδίκτυο. Η πηγή αυτών των ήχων θα μπορούσε να είναι δημοφιλείς εφαρμογές ανταλλαγής μηνυμάτων, όπως το Discord, το Skype, το WeChat, το FaceTime και άλλες, όπου οι χρήστες εκτελούν εν αγνοία τους ενέργειες σάρωσης ενώ το μικρόφωνο της συσκευής είναι ενεργό.

Το PrintListener ξεπερνά διάφορες προκλήσεις, συμπεριλαμβανομένης της ανάπτυξης ενός αλγορίθμου εντοπισμού ηχητικών συμβάντων τριβής με βάση τη φασματική ανάλυση, του διαχωρισμού των επιρροών των μοτίβων των δακτύλων στον ήχο από τα φυσιολογικά και συμπεριφορικά χαρακτηριστικά των χρηστών και της εξέλιξης από την εξαγωγή συμπερασμάτων από τα πρωτεύοντα στα δευτερεύοντα χαρακτηριστικά των δακτυλικών αποτυπωμάτων με τη χρήση στατιστικής ανάλυσης και ενός ευρετικού αλγορίθμου αναζήτησης.

Σε σενάρια πραγματικού κόσμου, ο PrintListener απέδειξε την αποτελεσματικότητά του διευκολύνοντας με επιτυχία επιθέσεις με μερικό δακτυλικό αποτύπωμα σε πάνω από το 25% των περιπτώσεων και επιθέσεις με πλήρες δακτυλικό αποτύπωμα σε σχεδόν 10% των περιπτώσεων. Τα αποτελέσματα αυτά ξεπερνούν τα ποσοστά επιτυχίας των επιθέσεων σε λεξικό δακτυλικών αποτυπωμάτων MasterPrint χωρίς βοήθεια, αναδεικνύοντας τους πιθανούς κινδύνους ασφαλείας που ενέχει αυτή η εξελιγμένη προσέγγιση πλευρικού καναλιού στα συστήματα ελέγχου ταυτότητας δακτυλικών αποτυπωμάτων.

Σε μια συντονισμένη προσπάθεια στην οποία συμμετείχαν διεθνείς υπηρεσίες επιβολής του νόμου, συμπεριλαμβανομένου του Ομοσπονδιακού Γραφείου Ερευνών (FBI) των ΗΠΑ και της Εθνικής Υπηρεσίας Καταπολέμησης Εγκλήματος του Ηνωμένου Βασιλείου, η διαβόητη συμμορία LockBit ransomware αντιμετώπισε μια σημαντική αρνητική εξέλιξη. Ο ιστότοπος στον σκοτεινό ιστό, όπου το LockBit απαριθμούσε δημοσίως τα θύματα και απειλούσε να διαρρεύσει τα κλεμμένα δεδομένα, εκτός εάν ικανοποιούνταν οι απαιτήσεις λύτρων, αντικαταστάθηκε με μια ανακοίνωση των αρχών επιβολής του νόμου τη Δευτέρα.

Από την εμφάνισή της ως επιχείρηση ransomware στα τέλη του 2019, η LockBit είχε γίνει μια από τις πιο παραγωγικές ομάδες ηλεκτρονικού εγκλήματος στον κόσμο, στοχεύοντας θύματα σε όλο τον κόσμο και συγκεντρώνοντας εκατομμύρια σε εκβιαστικές πληρωμές λύτρων. Η Hattie Hafenrichter, εκπρόσωπος της Εθνικής Υπηρεσίας Καταπολέμησης του Εγκλήματος του Ηνωμένου Βασιλείου, επιβεβαίωσε ότι οι υπηρεσίες της LockBit είχαν διακοπεί λόγω της δράσης των αρχών επιβολής του νόμου.

Ο παραβιασμένος ιστότοπος διαρροών εμφανίζει πλέον πληροφορίες που εκθέτουν τις λειτουργίες και τις δυνατότητες της LockBit, συμπεριλαμβανομένων διαρροών backend και λεπτομερειών σχετικά με τον φερόμενο ως αρχηγό της LockBit, γνωστό ως LockBitSupp.

Στην επιχείρηση Chronos, της οποίας ηγήθηκε η NCA και η οποία συντονίστηκε στην Ευρώπη από την Europol και την Eurojust, συμμετείχαν πολλοί διεθνείς αστυνομικοί οργανισμοί από την Αυστραλία, τον Καναδά, τη Γαλλία, τη Φινλανδία, τη Γερμανία, τις Κάτω Χώρες, την Ιαπωνία, τη Σουηδία, την Ελβετία και τις Ηνωμένες Πολιτείες. Η Europol επιβεβαίωσε ότι η πολύμηνη επιχείρηση είχε ως αποτέλεσμα την παραβίαση της κύριας πλατφόρμας και των κρίσιμων υποδομών της LockBit, συμπεριλαμβανομένης της κατάργησης 34 διακομιστών και της κατάσχεσης περισσότερων από 200 πορτοφολιών κρυπτονομισμάτων σε όλη την Ευρώπη, το Ηνωμένο Βασίλειο και τις ΗΠΑ.

Το Υπουργείο Δικαιοσύνης των ΗΠΑ δημιούργησε κατηγορητήρια κατά δύο Ρώσων υπηκόων, του Artur Sungatov και του Ivan Gennadievich Kondratiev, για τη φερόμενη συμμετοχή τους στις κυβερνοεπιθέσεις της LockBit. Προηγούμενες κατηγορίες αφορούσαν άλλα τρία φερόμενα ως μέλη της LockBit, με συλλήψεις στον Καναδά, τις ΗΠΑ, την Πολωνία και την Ουκρανία. Η LockBit ισχυρίστηκε ότι ήταν απολιτική και ότι είχε ως γνώμονα τα χρήματα, υποστηρίζοντας ότι βρισκόταν στις Κάτω Χώρες πριν από την κατάσχεση.

Οι υπηρεσίες επιβολής του νόμου, στο πλαίσιο της επιχείρησης Cronos, έλαβαν κλειδιά αποκρυπτογράφησης από την κατασχεθείσα υποδομή της LockBit για να βοηθήσουν τα θύματα να ανακτήσουν πρόσβαση στα δεδομένα τους. Ο Allan Liska, ειδικός σε θέματα ransomware, πιστεύει ότι η ενέργεια αυτή σηματοδοτεί το τέλος της λειτουργίας της LockBit στην τρέχουσα μορφή της, παραλύοντας την υποδομή της και βλάπτοντας τη φήμη της.

Σύμφωνα με το Υπουργείο Δικαιοσύνης, η LockBit πραγματοποίησε περίπου 2.000 επιθέσεις ransomware παγκοσμίως, λαμβάνοντας πάνω από 120 εκατομμύρια δολάρια σε πληρωμές λύτρων. Η εταιρεία κυβερνοασφάλειας NCC Group κατέγραψε πάνω από χίλια θύματα της LockBit μόνο το 2023. Η LockBit και οι θυγατρικές της έχουν αναλάβει την ευθύνη για επιθέσεις υψηλού προφίλ εναντίον οργανισμών όπως η Boeing, η TSMC, η Royal Mail και η κομητεία Fulton της πολιτείας της Τζόρτζια των ΗΠΑ.

Αυτή η κατάσχεση ακολουθεί μια σειρά ενεργειών επιβολής του νόμου που στοχεύουν συμμορίες ransomware, συμπεριλαμβανομένης της κατάσχεσης του ιστότοπου διαρροής στον σκοτεινό ιστό της συμμορίας ALPHV (BlackCat) τον Δεκέμβριο, με επιπτώσεις σε θύματα όπως το Reddit, η Norton και το Barts Health NHS Trust του Λονδίνου. Η παγκόσμια προσπάθεια υπογραμμίζει τη δέσμευση για την εξάρθρωση των δικτύων κυβερνοεγκληματιών που ευθύνονται για τις εκτεταμένες επιθέσεις ransomware.

Σε μια παράξενη τροπή των γεγονότων, ένας χρήστης του Reddit ανέφερε πρόσφατα μια απροσδόκητη και δυνητικά επικίνδυνη κατάσταση που αφορούσε έναν μικρό δονητή που αγοράστηκε από ένα τοπικό εμπορικό κέντρο. Ο χρήστης, ο οποίος χρησιμοποιεί το όνομα χρήστη VegetableLuck, μοιράστηκε την ανησυχητική εμπειρία του στο subreddit r/Malware, περιγράφοντας λεπτομερώς ένα παράξενο περιστατικό.

Πριν από δύο ημέρες, ο VegetableLuck συνέδεσε αθώα το σεξουαλικό παιχνίδι με USB στον υπολογιστή του για φόρτιση, για να βρεθεί μπροστά σε μια ανησυχητική έκπληξη. Ο δονητής, ο οποίος προφανώς λειτουργεί και ως flash drive, ξεκίνησε μια μη εξουσιοδοτημένη λήψη αρχείων χωρίς καμία αλληλεπίδραση με ιστοσελίδες. Ευτυχώς, το άγρυπνο λογισμικό ασφαλείας του χρήστη, το Malwarebytes, εντόπισε αμέσως την απειλή και απέτρεψε τη λήψη.

Ο χρήστης παρείχε λεπτομέρειες σχετικά με το ύποπτο αρχείο και τον σχετικό σύνδεσμο λήψης, προτρέποντας την κοινότητα να είναι προσεκτική. Ο VegetableLuck, περίεργος για τη φύση της πιθανής απειλής, ζήτησε τη βοήθεια της κοινότητας του Reddit, ζητώντας από τυχόν ειδικούς να αναλύσουν τον παρεχόμενο σύνδεσμο και να ρίξουν φως στην κατάσταση. Ο επείγον χαρακτήρας του αιτήματος υπογραμμίζει τις σοβαρές επιπτώσεις ενός τέτοιου περιστατικού, καθώς οι ανυποψίαστοι χρήστες ενδέχεται να εκθέσουν κατά λάθος τα συστήματά τους σε επιβλαβές κακόβουλο λογισμικό που είναι μεταμφιεσμένο μέσα σε φαινομενικά αθώες συσκευές.

Οι λάτρεις της τεχνολογίας και οι επαγγελματίες της κυβερνοασφάλειας βρίσκονται πλέον σε κατάσταση συναγερμού, τονίζοντας τη σημασία της προσοχής κατά τη σύνδεση άγνωστων συσκευών με προσωπικούς υπολογιστές. Το περιστατικό χρησιμεύει ως μια έντονη υπενθύμιση των εξελισσόμενων τακτικών που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου για να διεισδύσουν σε συστήματα, εκμεταλλευόμενοι ανυποψίαστους χρήστες με μη συμβατικά μέσα.

Καθώς η κοινότητα του Reddit συσπειρώνεται για να διερευνήσει την πηγή και τη φύση της πιθανής απειλής, το περιστατικό αυτό υπογραμμίζει την ανάγκη για αυξημένη ευαισθητοποίηση και επαγρύπνηση στον τομέα της κυβερνοασφάλειας, ακόμη και σε φαινομενικά καθημερινές πτυχές της καθημερινής ζωής.

Σε μια εντυπωσιακή αποκάλυψη, η Group-IB, αποκάλυψε ένα νέο iOS Trojan που έχει σχεδιαστεί για να κλέβει τα δεδομένα αναγνώρισης προσώπου των χρηστών, τα έγγραφα ταυτότητας και να υποκλέπτει SMS. Με την ονομασία GoldPickaxe.iOS, αυτό το κακόβουλο λογισμικό έχει ως πηγή την κινέζικη εταιρεία GoldFactory, διαβόητη για την ανάπτυξη εξαιρετικά εξελιγμένων τραπεζικών Trojan. Η τελευταία ανακάλυψη αναδεικνύει επίσης μια σπάνια περίπτωση κακόβουλου λογισμικού που στοχεύει ειδικά το λειτουργικό σύστημα κινητών τηλεφώνων της Apple.

Η Group-IB εντόπισε αρχικά το GoldDigger τον Οκτώβριο του 2023, προβλέποντας την επέκτασή του πέραν του Βιετνάμ. Σε λιγότερο από ένα μήνα, εμφανίστηκε μια νέα παραλλαγή - το GoldPickaxe.iOS, με στόχο θύματα στην Ταϊλάνδη. Ο φορέας απειλών, GoldFactory, διαθέτει ένα εκτεταμένο χαρτοφυλάκιο, συμπεριλαμβανομένου του GoldDigger και των πρόσφατα εντοπισμένων GoldDiggerPlus, GoldKefu και GoldPickaxe για Android.

Σε ένα πρόσφατο περιστατικό τον Φεβρουάριο του 2024, ένας Βιετναμέζος πολίτης έπεσε θύμα του GoldPickaxe.iOS, με αποτέλεσμα ο κυβερνοεγκληματίας να αποσύρει πάνω από 40.000 δολάρια. Παρόλο που η Group-IB δεν έχει άμεσες αποδείξεις για τη διανομή του GoldPickaxe στο Βιετνάμ, το περιστατικό υποδηλώνει έντονα την παρουσία του στη χώρα.

Το GoldPickaxe.iOS μεταμφιέζεται σε εφαρμογές κυβερνητικών υπηρεσιών της Ταϊλάνδης, δελεάζοντας τους χρήστες να δημιουργήσουν ένα ολοκληρωμένο βιομετρικό προφίλ προσώπου και να υποβάλουν φωτογραφίες των δελτίων ταυτότητάς τους. Χρησιμοποιώντας μια καινοτόμο στρατηγική διανομής, ο δράστης της απειλής χρησιμοποίησε αρχικά την πλατφόρμα TestFlight της Apple, μεταβαίνοντας σε μια πιο προηγμένη προσέγγιση μετά την απομάκρυνση του από την πλατφόρμα της Apple.

Σε αντίθεση με το τυπικό κακόβουλο λογισμικό, το GoldPickaxe δεν κλέβει άμεσα χρήματα. Αντ' αυτού, συλλέγει πληροφορίες για τη δημιουργία video deepfakes για μη εξουσιοδοτημένη πρόσβαση στις τραπεζικές εφαρμογές των θυμάτων. Οι χρηματοπιστωτικοί οργανισμοί της Ταϊλάνδης χρησιμοποιούν εκτενώς την αναγνώριση προσώπου για την επαλήθευση συναλλαγών και τον έλεγχο ταυτότητας σύνδεσης.

Μετά την ανακάλυψη του GoldDigger Trojan τον Ιούνιο του 2023, η Group-IB εντόπισε μια πιο προηγμένη παραλλαγή - GoldDiggerPlus. Αυτό το κακόβουλο λογισμικό Android, συνοδευόμενο από το GoldKefu, χρησιμοποιεί διαδικτυακές απομιμήσεις που υποδύονται τράπεζες του Βιετνάμ για να συλλέξει τραπεζικά διαπιστευτήρια. Το GoldKefu επιτρέπει στους εγκληματίες του κυβερνοχώρου να στέλνουν ψεύτικες ειδοποιήσεις και να πραγματοποιούν κλήσεις σε πραγματικό χρόνο στα θύματα.

Η Group-IB αποδίδει ολόκληρο το σύμπλεγμα απειλών στον κακόβουλο παράγοντα GoldFactory. Η ομάδα επιδεικνύει επάρκεια σε διάφορες τακτικές, συμπεριλαμβανομένης της πλαστοπροσωπίας, του keylogging, των ψεύτικων τραπεζικών ιστότοπων και της συλλογής δεδομένων ταυτότητας και αναγνώρισης προσώπου. Η εμπλοκή της GoldFactory στη διανομή του Gigabud, ενός διασπαστικού τραπεζικού trojan, έχει υπονοηθεί αλλά δεν έχει αποδειχθεί πειστικά.

Ο Andrey Polovinkin, αναλυτής κακόβουλου λογισμικού στην Group-IB, τονίζει την επιχειρησιακή ωριμότητα της συμμορίας και τις συνεχείς βελτιώσεις στα εργαλεία της. Προειδοποιεί για επικείμενη απειλή για το Βιετνάμ και άλλες περιοχές, καθώς οι τεχνικές και η λειτουργικότητα του GoldPickaxe είναι πιθανό να ενσωματωθούν σε μελλοντικό κακόβουλο λογισμικό.

Η Group-IB συνιστά στις τράπεζες να εφαρμόζουν συστήματα παρακολούθησης συνεδριών χρηστών, όπως το Fraud Protection της Group-IB, για την ανίχνευση της παρουσίας κακόβουλου λογισμικού και τον αποκλεισμό ανώμαλων συνεδριών. Συνιστάται στους τελικούς χρήστες να αποφεύγουν να κάνουν κλικ σε ύποπτους συνδέσμους, να χρησιμοποιούν επίσημα καταστήματα εφαρμογών, να ελέγχουν τα δικαιώματα των εφαρμογών, να αποφεύγουν την προσθήκη άγνωστων επαφών, να επαληθεύουν τις τραπεζικές επικοινωνίες και να αναφέρουν αμέσως τις υποψίες απάτης στις τράπεζές τους.

Σε μια πρόσφατη εξέλιξη, οι developers του Linux αντιμετωπίζουν ενεργά μια ευπάθεια υψηλής σοβαρότητας που αποτελεί σημαντική απειλή για την ασφάλεια των υπολογιστικών συσκευών. Η ευπάθεια, που εντοπίζεται ως CVE-2023-40547, βρίσκεται στο shim, ένα κρίσιμο συστατικό που είναι υπεύθυνο για τα πρώτα στάδια της διαδικασίας εκκίνησης στο firmware του Linux. Η επιτυχής εκμετάλλευση αυτού του ελαττώματος μπορεί να επιτρέψει την εγκατάσταση κακόβουλου λογισμικού σε επίπεδο firmware, παρέχοντας στους επιτιθέμενους πρόσβαση στα βαθύτερα τμήματα μιας συσκευής, καθιστώντας τις μολύνσεις τόσο δύσκολο να εντοπιστούν όσο και να αφαιρεθούν.

Το shim, που βρίσκεται σχεδόν σε όλες τις διανομές Linux, παίζει καθοριστικό ρόλο στους μηχανισμούς ασφαλούς εκκίνησης. Αυτό το χαρακτηριστικό ασφαλείας διασφαλίζει ότι κάθε στοιχείο της διαδικασίας εκκίνησης προέρχεται από μια επαληθευμένη, αξιόπιστη πηγή. Ωστόσο, η εν λόγω ευπάθεια επιτρέπει στους επιτιθέμενους να εκτελούν κακόβουλο υλικολογισμικό στα πρώτα στάδια της εκκίνησης, παρακάμπτοντας τις προστασίες ασφαλούς εκκίνησης.

Το ελάττωμα, που αναγνωρίστηκε ως υπερχείλιση ρυθμιστικού διαφράγματος (CVE-2023-40547), είναι ένα σφάλμα κωδικοποίησης που δίνει τη δυνατότητα στους επιτιθέμενους να εκτελούν αυθαίρετο κώδικα. Το παραβιασμένο shim επεξεργάζεται την εκκίνηση από έναν κεντρικό διακομιστή χρησιμοποιώντας μη κρυπτογραφημένο HTTP, το ίδιο πρωτόκολλο με το διαδίκτυο. Η επιτυχής εκμετάλλευση της ευπάθειας πραγματοποιείται μετά την παραβίαση της στοχευμένης συσκευής, του διακομιστή ή του δικτύου, εξουδετερώνοντας στη συνέχεια τους μηχανισμούς ασφαλούς εκκίνησης.

Ο Matthew Garrett, ένας από τους αρχικούς συγγραφείς του shim, τόνισε ότι οι επιτιθέμενοι πρέπει να εξαναγκάσουν ένα σύστημα να εκκινήσει από το HTTP, καθιστώντας την εκμετάλλευση της ευπάθειας δύσκολη αλλά όχι αδύνατη. Τα πιθανά σενάρια περιλαμβάνουν την παραβίαση ενός διακομιστή, την απόκτηση φυσικής πρόσβασης σε μια συσκευή ή την εκμετάλλευση μιας ξεχωριστής ευπάθειας για την επίτευξη διαχειριστικού ελέγχου.

Ενώ τα εμπόδια για την εκμετάλλευση είναι απότομα, οι πιθανές συνέπειες είναι σοβαρές. Οι επιτυχείς επιθέσεις επιτρέπουν την εγκατάσταση ενός bootkit, μιας μορφής κακόβουλου λογισμικού που εκτελείται πριν από το λειτουργικό σύστημα, παρακάμπτοντας την τυπική προστασία του τελικού σημείου. Ειδικότερα, το bootkit που δημιουργείται δεν θα επιβιώσει από μια διαγραφή ή επαναδιαμόρφωση του σκληρού δίσκου.

Η αντιμετώπιση της ευπάθειας περιλαμβάνει κάτι περισσότερο από την εξάλειψη της υπερχείλισης buffer- απαιτείται η ενημέρωση του μηχανισμού ασφαλούς εκκίνησης για την ανάκληση των ευάλωτων εκδόσεων του bootloader. Αυτή η διαδικασία εισάγει κάποιο επίπεδο κινδύνου, καθώς οι χρήστες ενδέχεται να αντιμετωπίσουν προβλήματα κατά τη διάρκεια της ενημέρωσης, που ενδεχομένως να οδηγήσουν σε διακοπή της διαδικασίας εκκίνησης.

Οι προγραμματιστές του Linux κυκλοφόρησαν την επιδιόρθωση σε μεμονωμένους προγραμματιστές shim, οι οποίοι την ενσωματώνουν στις υπεύθυνες εκδόσεις τους. Αυτές οι διορθωμένες εκδόσεις διανέμονται τώρα στους διανομείς Linux, οι οποίοι βρίσκονται στη διαδικασία διάθεσής τους στους τελικούς χρήστες. Η βαθμολογία σοβαρότητας 9,8 στα 10 υπογραμμίζει τη σημασία της άμεσης εγκατάστασης των επιδιορθώσεων μόλις γίνουν διαθέσιμες.

Αν και ο κίνδυνος επιτυχούς εκμετάλλευσης περιορίζεται σε ακραία σενάρια, η πιθανή ζημιά υπογραμμίζει τον κρίσιμο χαρακτήρα της αντιμετώπισης αυτής της ευπάθειας για τη διατήρηση της ασφάλειας των συστημάτων που βασίζονται στο Linux.

Σε μια από τις μεγαλύτερες απάτες που σχετίζονται με τη τεχνολογία deepfake μέχρι σήμερα, ένας υπάλληλος του Χονγκ Κονγκ εξαπατήθηκε για να μεταφέρει 25,6 εκατομμύρια δολάρια κατά τη διάρκεια μιας τηλεδιάσκεψης. Οι απατεώνες χρησιμοποίησαν deepfake εκδοχές του οικονομικού διευθυντή της εταιρείας και άλλων υπαλλήλων για να ενορχηστρώσουν την περίτεχνη απάτη.

Το περιστατικό, το οποίο ανέφερε η South China Morning Post (SCMP), αφορούσε έναν υπάλληλο στο υποκατάστημα του Χονγκ Κονγκ μιας πολυεθνικής εταιρείας που δεν κατονομάζεται. Τον εξαπάτησαν να συμμετάσχει σε μια βιντεοκλήση όπου οι άλλοι συμμετέχοντες ήταν ψηφιακά αναπαραστάσεις πραγματικών υπαλλήλων, συμπεριλαμβανομένου του οικονομικού διευθυντή (CFO) της εταιρείας.

Πιστεύοντας ότι η κλήση ήταν νόμιμη, ο υπάλληλος ακολούθησε τις οδηγίες που του έδωσαν οι deepfakes και μετέφερε 200 εκατομμύρια HK$ (περίπου 25,6 εκατομμύρια δολάρια) σε 15 ξεχωριστές συναλλαγές σε τραπεζικούς λογαριασμούς στο Χονγκ Κονγκ. Μόλις μια εβδομάδα αργότερα, όταν επικοινώνησε με τα κεντρικά γραφεία της εταιρείας, ο υπάλληλος ανακάλυψε ότι είχε εξαπατηθεί.

Προσθέτοντας στην πολυπλοκότητα του σχεδίου, οι απατεώνες επικοινώνησαν αρχικά με τον υπάλληλο μέσω ηλεκτρονικού ταχυδρομείου, δημιουργώντας υποψίες με αναφορές για μια "μυστική συναλλαγή". Ωστόσο, τα ρεαλιστικά deepfakes στη βιντεοκλήση έπεισαν τελικά τον υπάλληλο για τη νομιμότητά της.

Οι έρευνες της αστυνομίας αποκάλυψαν ότι οι απατεώνες χρησιμοποίησαν δημόσια διαθέσιμο βίντεο και ηχητικό υλικό για τη δημιουργία των deepfakes, μιμούμενοι τις φωνές των στόχων τους με τη χρήση τεχνολογίας τεχνητής νοημοσύνης. Ενώ ο εν λόγω υπάλληλος δεν αλληλεπίδρασε ποτέ άμεσα με τα deepfakes πέρα από μια αρχική αυτοπαρουσίαση, οι απατεώνες εξέδωσαν εντολές μεταφοράς πριν τερματίσουν απότομα την κλήση. Στη συνέχεια η επικοινωνία βασίστηκε σε πλατφόρμες ανταλλαγής μηνυμάτων και σε μηνύματα ηλεκτρονικού ταχυδρομείου, συντηρώντας περαιτέρω την ψευδαίσθηση.

Το περιστατικό αυτό αναδεικνύει την αυξανόμενη απειλή των deepfakes και τις δυνατότητές τους για οικονομικό έγκλημα. Ενώ τα μέτρα ασφαλείας εξελίσσονται, η πολυπλοκότητα αυτής της απάτης υπογραμμίζει την ανάγκη για αυξημένη επαγρύπνηση και ευαισθητοποίηση.

Όταν οι χρήστες ανοίγουν ένα πρόγραμμα περιήγησης Incognito στο Chrome, θα βλέπουν μια ειδοποίηση που θα τους προειδοποιεί ότι τα άλλα άτομα που χρησιμοποιούν τη συσκευή τους δεν θα μπορούν να δουν τη δραστηριότητά τους, αλλά ότι οι λήψεις, οι σελιδοδείκτες και τα στοιχεία ανάγνωσης θα εξακολουθούν να αποθηκεύονται. Τώρα, η Google ενημέρωσε αυτή τη δήλωση αποποίησης ευθύνης στο πειραματικό κανάλι Canary του Chrome, λίγο μετά τη συμφωνία για τη διευθέτηση μιας αγωγής ύψους 5 δισεκατομμυρίων δολαρίων που την κατηγορούσε για παρακολούθηση των χρηστών του Incognito. Όπως παρατήρησε πρώτο το site MSPowerUser, η εταιρεία έχει τροποποιήσει την αποποίηση ευθυνών στο Canary για να προσθέσει γλώσσα που λέει ότι η λειτουργία Incognito δεν θα αλλάξει τον τρόπο με τον οποίο οι ιστότοποι συλλέγουν τα δεδομένα των χρηστών.

"Άλλοι που χρησιμοποιούν αυτή τη συσκευή δεν θα βλέπουν τη δραστηριότητά σας, ώστε να μπορείτε να περιηγείστε πιο ιδιωτικά", αναφέρει η νέα δήλωση αποποίησης ευθυνών. "Αυτό δεν θα αλλάξει τον τρόπο με τον οποίο συλλέγονται δεδομένα από τους ιστότοπους που επισκέπτεστε και τις υπηρεσίες που χρησιμοποιούν, συμπεριλαμβανομένης της Google. Οι λήψεις, οι σελιδοδείκτες και τα στοιχεία της λίστας ανάγνωσης θα αποθηκεύονται". Η ενημερωμένη προειδοποίηση εντοπίστηκε στο Canary σε Android και Windows και μπορούμε να επιβεβαιώσουμε ότι το ίδιο εμφανίζεται στην έκδοση του Chrome για Mac.

Η Google δέχτηκε μήνυση το 2020, κατηγορώντας την ότι παρακολουθεί τις δραστηριότητες των χρηστών ακόμη και αν βρίσκονται σε λειτουργία Incognito. Οι ενάγοντες δήλωσαν στο δικαστήριο ότι η εταιρεία χρησιμοποιούσε εργαλεία όπως το προϊόν Analytics, εφαρμογές και πρόσθετα του προγράμματος περιήγησης για την παρακολούθηση των χρηστών. Υποστήριξαν επίσης ότι με την παρακολούθηση των χρηστών στο Incognito, η Google έδινε στους ανθρώπους την εσφαλμένη πεποίθηση ότι μπορούν να ελέγχουν τις πληροφορίες που είναι πρόθυμοι να μοιραστούν. Ένας εκπρόσωπος της Google εξήγησε τότε ότι η λειτουργία αυτή μπορούσε να αποκρύψει μόνο τη δραστηριότητα ενός χρήστη στη συσκευή που χρησιμοποιεί, αλλά οι πληροφορίες του μπορούσαν να συλλεχθούν. Αυτό δεν ανακοινώνεται με σαφήνεια στην τρέχουσα δήλωση αποποίησης ευθυνών για τη δημόσια έκδοση του Chrome, αλλά φαίνεται ότι αυτό μπορεί να αλλάξει στο εγγύς μέλλον.

Η Group-IB, εταιρεία κυβερνοασφάλειας που ειδικεύεται στη διερεύνηση, την πρόληψη και την καταπολέμηση του ψηφιακού εγκλήματος, δημοσίευσε λεπτομερή έκθεση που αποκαλύπτει το ανεξέλεγκτο σύστημα κακόβουλου λογισμικού Inferno Drainer, το οποίο στοχεύει τους κατόχους κρυπτονομισμάτων εδώ και πάνω από ένα χρόνο. Η μονάδα διερεύνησης εγκλημάτων υψηλής τεχνολογίας της εταιρείας αποκάλυψε την εξελιγμένη επιχείρηση scam-as-a-service, η οποία χρησιμοποίησε υψηλής ποιότητας σελίδες phishing και παραποιημένα πρωτόκολλα Web3 για να κλέψει πάνω από 80 εκατομμύρια δολάρια σε ψηφιακά περιουσιακά στοιχεία.

Το Inferno Drainer, επίσης γνωστό ως Inferno Multichain Drainer, ήταν μια εργαλειοθήκη κακόβουλου λογισμικού που προσφερόταν προς ενοικίαση σε εγκληματίες του κυβερνοχώρου μέσω ενός καναλιού Telegram. Το κακόβουλο λογισμικό είχε σχεδιαστεί για να εξαπατά τους χρήστες ώστε να συνδέουν τα πορτοφόλια κρυπτονομισμάτων τους με παραβιασμένους ιστότοπους, επιτρέποντας στους επιτιθέμενους να κλέβουν τα ψηφιακά περιουσιακά τους στοιχεία. Οι χειριστές του Inferno Drainer προωθούσαν ενεργά το κακόβουλο λογισμικό τους και παρείχαν έναν πίνακα πελατών για την προσαρμογή των χαρακτηριστικών και την παρακολούθηση των στατιστικών στοιχείων.

Οι ερευνητές της Group-IB διαπίστωσαν ότι οι προγραμματιστές του Inferno Drainer χρέωναν μια αμοιβή 20% για τη χρήση του κακόβουλου λογισμικού, ενώ οι χρήστες λάμβαναν το υπόλοιπο 80% των κλεμμένων περιουσιακών στοιχείων. Οι εγκληματίες του κυβερνοχώρου μπορούσαν είτε να αναπτύξουν το κακόβουλο λογισμικό στις δικές τους ιστοσελίδες phishing είτε να χρησιμοποιήσουν την υπηρεσία της Inferno Drainer για τη δημιουργία και φιλοξενία ιστοσελίδων phishing.

Οι σελίδες phishing που δημιουργήθηκαν από την Inferno Drainer, όπως η παραπάνω, στόχευαν ανυποψίαστα θύματα σε πλατφόρμες κοινωνικής δικτύωσης όπως το X (πρώην Twitter) και το Discord. Αυτές οι σελίδες δελέαζαν τους χρήστες με υποσχέσεις για δωρεάν μάρκες, ευκαιρίες κοπής NFT ή αποζημίωση για υποτιθέμενες διακοπές λειτουργίας που προκλήθηκαν από εγκληματική δραστηριότητα στον κυβερνοχώρο. Μόλις ένα θύμα συνέδεε το πορτοφόλι του με την ιστοσελίδα phishing, ο κακόβουλος κώδικας JavaScript του Inferno Drainer παραποιούσε δημοφιλή πρωτόκολλα Web3 και ξεκινούσε μη εξουσιοδοτημένες συναλλαγές, απομυζώντας τα ψηφιακά περιουσιακά στοιχεία του θύματος.

Οι χειριστές του Inferno Drainer παρίσταναν πάνω από 100 εμπορικά σήματα κρυπτονομισμάτων σε σελίδες phishing που φιλοξενούνταν σε περισσότερους από 16.000 μοναδικούς τομείς. Η Group-IB ενημέρωσε τα επηρεαζόμενα εμπορικά σήματα και μοιράστηκε τα ευρήματά της με το Scam Sniffer, μια κορυφαία πλατφόρμα εντοπισμού εγκλημάτων κρυπτονομισμάτων.

"Το Inferno Drainer μπορεί να έχει σταματήσει τη δραστηριότητά του, αλλά η κλίμακα και η πολυπλοκότητα της επιχείρησής του αναδεικνύουν τους συνεχιζόμενους κινδύνους για τους κατόχους κρυπτονομισμάτων", δήλωσε ο Andrey Kolmakov, επικεφαλής του Τμήματος Έρευνας Εγκλημάτων Υψηλής Τεχνολογίας της Group-IB. "Καθώς το κακόβουλο λογισμικό Drainer συνεχίζει να εξελίσσεται, προτρέπουμε τους κατόχους κρυπτονομισμάτων να παραμείνουν σε επαγρύπνηση και να αποφεύγουν να εμπλέκονται με οποιονδήποτε ιστότοπο που προσφέρει δωρεάν ψηφιακά περιουσιακά στοιχεία ή αερομεταφορές".

Για να προστατευτούν από επιθέσεις phishing, η Group-IB συνιστά στους κατόχους κρυπτονομισμάτων:

• Να πραγματοποιούν συναλλαγές μόνο σε νόμιμες ιστοσελίδες, όπως αυτές που παρατίθενται στο CoinMarketCap.
• Να είστε επιφυλακτικοί σε κάθε ιστότοπο που σας ζητά να συνδέσετε το πορτοφόλι σας, ειδικά αν προσφέρει δωρεάν μάρκες ή airdrops.
• Ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων (2FA) για όλα τα ανταλλακτήρια και τα πορτοφόλια κρυπτονομισμάτων.
• Ελέγχετε τακτικά το ιστορικό των συναλλαγών σας για τυχόν μη εξουσιοδοτημένη δραστηριότητα.
• Αναφέρετε κάθε ύποπτο έγκλημα κρυπτονομισμάτων στις τοπικές υπηρεσίες επιβολής του νόμου.

Η Group-IB δεσμεύεται να παρέχει ολοκληρωμένες λύσεις κυβερνοασφάλειας για την προστασία των κατόχων κρυπτονομισμάτων από τις εξελισσόμενες απειλές που θέτουν τα κακόβουλα λογισμικά και οι απάτες phishing. Το προϊόν Threat Intelligence της εταιρείας, το οποίο αποκάλυψε το σύστημα Inferno Drainer, παρέχει ανίχνευση και ανάλυση απειλών σε πραγματικό χρόνο, βοηθώντας τους οργανισμούς να εντοπίζουν και να μετριάζουν αποτελεσματικά τους κινδύνους στον κυβερνοχώρο.