Οι λιανοπωλητές αντιμετωπίζουν απότομη αύξηση της στοχευμένης δραστηριότητας ransomware καθώς ξεκινά η εορταστική περίοδος αγορών. Οι ομάδες απειλών συγχρονίζουν τις επιθέσεις τους σε περιόδους αιχμής πωλήσεων, όταν ο χρόνος διακοπής λειτουργίας είναι πιο οδυνηρός και η πίεση για πληρωμή είναι υψηλότερη.
Αυτή η καμπάνια εστιάζει σε δίκτυα σημείων πώλησης, συστήματα υποστήριξης ηλεκτρονικού εμπορίου και υποστήριξη συστημάτων πληροφορικής που διαχειρίζονται παραγγελίες, δεδομένα αφοσίωσης και ροές εργασίας πληρωμών.
Οι επιτιθέμενοι χρησιμοποιούν ένα μείγμα από μηνύματα ηλεκτρονικού ψαρέματος, ψεύτικες ενημερώσεις αποστολής και κακόβουλες διαφημίσεις που ανακατευθύνουν τους χρήστες σε κιτ εκμετάλλευσης.
Μόλις ένα θύμα κάνει κλικ, η αλυσίδα μετακινείται γρήγορα από την αρχική βάση σε πλήρη συμβιβασμό τομέα. Ο στόχος είναι η ανάπτυξη ωφέλιμων φορτίων κρυπτογράφησης αρχείων και εργαλείων εξαγωγής δεδομένων σε μια ενιαία, συντονισμένη εκτέλεση, συχνά μέσα σε λίγες ώρες από την αρχική πρόσβαση.
Αναλυτές ασφαλείας Morphisec αναγνωρισθείς το κακόβουλο λογισμικό ως μέρος μιας εργαλειοθήκης πολλαπλών σταδίων που έχει σχεδιαστεί για κρυφή είσοδο, κλοπή διαπιστευτηρίων και γρήγορη πλευρική κίνηση σε περιβάλλοντα λιανικής.
Η τηλεμετρία τους δείχνει ότι οι παράγοντες απειλών συντονίζουν τους φορτωτές και τα σενάρια ώστε να συνδυάζονται με τυπικά εργαλεία υποστήριξης και απομακρυσμένης υποστήριξης που χρησιμοποιούνται από το προσωπικό του καταστήματος και της αποθήκης.
Ο αντίκτυπος είναι σοβαρός: τα κρυπτογραφημένα συστήματα απογραφής, τα κλειδωμένα τερματικά πληρωμών και οι μη προσβάσιμες πλατφόρμες ηλεκτρονικών παραγγελιών μπορούν να σταματήσουν τόσο τις πωλήσεις εντός καταστημάτων όσο και τις ψηφιακές πωλήσεις.
Πολλά θύματα αντιμετωπίζουν επίσης κλοπή δεδομένων, συμπεριλαμβανομένων αρχείων πελατών και εσωτερικών σχεδίων τιμολόγησης ή προώθησης, γεγονός που αυξάνει τον κίνδυνο διπλού εκβιασμού και ρυθμιστικών προστίμων.
Αυτό δείχνει την πλήρη αλυσίδα επιθέσεων από το ηλεκτρονικό ταχυδρομείο ηλεκτρονικού ψαρέματος έως την εκτέλεση ransomware σε ένα τυπικό δίκτυο λιανικής.
Μηχανισμός μόλυνσης και παράδοση ωφέλιμου φορτίου
Η καμπάνια βασίζεται σε ένα ελαφρύ πρόγραμμα φόρτωσης που προσγειώνεται πρώτα μέσω ενός κακόβουλου συνημμένου ή λήψης σεναρίου.
Αυτός ο φορτωτής εισάγει αξιόπιστες διεργασίες όπως το explorer.exe ή το powershell.exe για να αποφύγει απλούς κανόνες που βασίζονται σε διαδικασίες.
Στη συνέχεια, τραβάει το κύριο ωφέλιμο φορτίο από έναν διακομιστή που ελέγχεται από εισβολείς μέσω HTTPS, χρησιμοποιώντας ονόματα τομέων που μιμούνται τους κοινούς παρόχους cloud και CDN.
Μόλις το ωφέλιμο φορτίο σταδιακά γίνει, το κακόβουλο λογισμικό συλλέγει διαπιστευτήρια από LSASS και αποθηκευμένες περιόδους σύνδεσης προγράμματος περιήγησης, στη συνέχεια χρησιμοποιεί εργαλεία απομακρυσμένης διαχείρισης και κοινόχρηστα στοιχεία SMB για να αντιγραφεί σε διακομιστές καταστημάτων και συστήματα σημείων πώλησης.
Για να καταστήσει δυσκολότερο τον εντοπισμό, εκκινεί βασικές ενέργειες μέσω συγκεχυμένων εντολών PowerShell όπως:
powershell.exe -w hidden -enc -ExecutionPolicy Bypass Το κακόβουλο λογισμικό μετακινείται σε δίκτυα καταστημάτων, χρησιμοποιώντας υπάρχουσες διαδρομές διαχειριστή για να φτάσει σε διακομιστές πληρωμών και αποθέματος προτού ενεργοποιήσει το τελικό στοιχείο ransomware.
Αυτή η στροφή προς την προληπτική άμυνα μετασχηματίζει την εξίσωση ασφαλείας, προστατεύοντας τα δεδομένα των πελατών, τη λειτουργική συνέχεια και το τελικό αποτέλεσμα πριν οι απειλές μπορούν να επικρατήσουν.
