Gracze League of Legends na celowniku ransomware

Naukowcy twierdzą, że atakujący używają zmodyfikowanej wersji oprogramowania ransomware SolidBit, aby prześladować fanów popularnej gry online League of Legends i użytkowników Instagrama.

Podmioty zajmujące się zagrożeniami zmodyfikowały oprogramowanie ransomware SolidBit, aby skupić się na graczach i użytkownikach mediów społecznościowych. Badacze z firmy Trend Micro zajmującej się cyberbezpieczeństwem odkryli wariant SolidBit podszywający się pod narzędzie do sprawdzania kont League of Legends.

Operatorzy złośliwego oprogramowania przesłali złośliwą aplikację na GitHub. Fałszywe narzędzie do sprawdzania kont League of Legends zawiera złośliwe oprogramowanie SolidBit oraz plik instrukcji, który rzekomo zawiera przewodnik dotyczący korzystania z tego narzędzia.

Gdy ofiara uruchomi narzędzie, uruchamia PowerShell i instaluje złośliwe oprogramowanie na komputerze ofiary. Po wejściu na urządzenie złośliwe oprogramowanie rozpocznie skanowanie urządzenia i wyłączy zaplanowane skanowania programu Windows Defender, aby uniknąć wykrycia.

Szczegóły dotyczące oszukańczego narzędzia do sprawdzania kont League of Legends zamieszczone na Github. Zdjęcie firmy Trend Micro.

Po zakończeniu zadania uruchamiane jest oprogramowanie ransomware SolidBit, co prowadzi do szyfrowania plików. W tym procesie kopie w tle, logi kopii zapasowych i dziesiątki usług są usuwane z komputera ofiary. Po zakończeniu procesu ofiara otrzymuje żądanie okupu z instrukcjami, jak odszyfrować dane.

Według naukowców inne zmodyfikowane wersje SolidBit zostały przesłane na GitHub z tytułami takimi jak „Social Hacker” i „Instagram Follower Bot”. Oba są podobne do fałszywego narzędzia League of Legends. Jednak konto GitHub zostało zamknięte przed opublikowaniem badania.

„Wydaje się, że grupa SolidBit ransomware planuje rozszerzyć swoją działalność poprzez te oszukańcze aplikacje i rekrutację podmiotów stowarzyszonych z oprogramowaniem ransomware jako usługą” – twierdzą naukowcy.

Stabilny wzrost

Badacze uważają, że SolidBit naśladuje odnoszący sukcesy gang ransomware LockBit. Na przykład firma Trend Micro twierdzi, że obie grupy mają podobne witryny pomocy technicznej i nazwy plików z notatkami dotyczącymi okupu.

Jednak technicznie SolidBit jest oparty na rodzinie ransomware Yashma. Grupa prawdopodobnie uruchomi tylko swój program partnerski, ponieważ SolidBit zauważono, że publikuje ogłoszenia o pracę dla swojego programu ransomware-as-as-service (RaaS).

Liczba ataków ransomware wzrosła w ostatnim kwartale w porównaniu z początkiem roku. Digital Shadows liczył 705 ofiar, o 21% więcej niż w poprzednich miesiącach. Ivan Righi, starszy analityk ds. analizy cyberzagrożeń w Digital Shadows, uważa, że w ciągu roku zobaczymy tylko więcej ataków.

“[…] aktywność prawdopodobnie będzie nadal rosła do końca roku. Wzrost aktywności przypisywano przede wszystkim mniejszym grupom oprogramowania ransomware, które miały wyższy poziom aktywności niż zwykle, co jest kolejnym trendem, który prawdopodobnie utrzyma się ze względu na niedawne zamknięcie niektórych dużych grup oprogramowania ransomware” – powiedział Righi.

Podmioty zajmujące się zagrożeniami koncentrowały się przede wszystkim na sektorze towarów i usług przemysłowych, a następnie na sektorach technologii oraz budownictwa i materiałów. Firmy w Stanach Zjednoczonych nadal są głównym celem gangów zajmujących się oprogramowaniem ransomware, z około 39% wszystkich ofiar w USA.