Blog

Kiberxavfsizlik bo’yicha tadqiqotchilar qurbonlarni ijtimoiy maqsadlarga xayriya qilish va muhtoj odamlarga moliyaviy yordam ko’rsatish uchun aldaydigan GoodWill nomli to’lov dasturining yangi turini aniqladilar.

CloudSEK tadqiqotchilari o’tgan hafta e’lon qilingan hisobotda: «Ransomware guruhi shifrni ochish kaliti evaziga juda g’ayrioddiy talablarni qo’yadi». «Robin Gudga o’xshash guruh qurbonlarni moliyaviy sabablarga ko’ra tovlamachilikdan ko’ra kambag’allarga yordam berishdan manfaatdor ekanligini da’vo qilmoqda.»

.NET’da yozilgan to‘lov dasturi birinchi marta 2022-yil mart oyida Hindistonda joylashgan kiberxavfsizlik firmasi tomonidan aniqlangan, infektsiyalar nozik fayllarga shifrni hal qilmasdan kirish imkoniga ega bo‘lmagan. Shifrlash uchun AES algoritmidan foydalanadigan zararli dastur dinamik tahlilga xalaqit berish uchun 722,45 soniya davomida uxlashi bilan ham ajralib turadi.

Shifrlash jarayonidan so’ng ko’p sahifali to’lov yozuvi namoyish etiladi, unda jabrlanuvchilar shifrni ochish to’plamini olish uchun uchta ijtimoiy yo’naltirilgan harakatni bajarishlari kerak.

Bu uysizlarga yangi kiyim-kechak va ko‘rpa-to‘shaklar sovg‘a qilish, kam ta’minlangan beshta bolani Domino’s Pizza, Pizza Hut yoki KFC’ga ziyofat uchun olib borish va shoshilinch tibbiy yordamga muhtoj, ammo bunga moliyaviy imkoniyatga ega bo‘lmagan bemorlarga moliyaviy yordam ko‘rsatishni o‘z ichiga oladi.

Bundan tashqari, jabrlanuvchilardan o‘z harakatlarini skrinshot va selfi ko‘rinishida yozib olish va ularni ijtimoiy tarmoqlardagi akkauntlariga dalil sifatida joylashtirish so‘raladi.

“Har uchala harakat bajarilgandan so‘ng, qurbonlar ham ijtimoiy tarmoqlarda (Facebook yoki Instagram) GoodWill nomli to‘lov dasturi qurboni bo‘lib, qanday qilib yaxshi inson bo‘lib qolganingiz haqida eslatma yozishlari talab qilinadi”, — dedi tadqiqotchilar.

GoodWill qurbonlari ma’lum emas va ularning hujumlarni osonlashtirish uchun qo’llaniladigan aniq taktikasi, texnikasi va protseduralari (TTP) hali ham noma’lum.

Hujumchining shaxsi ham noma’lum, garchi elektron pochta manzili va tarmoq artefaktlari tahlili shuni ko’rsatadiki, operatorlar Hindistondan va hind tilida gaplashadi.

To’lov dasturi namunasini keyingi tekshirish, shuningdek, HiddenTear deb nomlangan Windows-ga asoslangan boshqa shtammi bilan sezilarli darajada o’xshashligini aniqladi, bu 2015 yilda turk dasturchisi tomonidan kontseptsiya isboti (PoC) sifatida ochiq manbali birinchi to’lov dasturi.

«GoodWill operatorlari bunga kirish imkoniga ega bo’lishdi, bu ularga kerakli o’zgartirishlar bilan yangi to’lov dasturini yaratishga imkon berdi», dedi tadqiqotchilar.

Manbalar:
https://thehackernews.com/2022/05/new-goodwill-ransomware-forces-victims.html