Sua aparição no ciberespaço foi um grande empreendimento ransomware, chamado “Operação Kofer”- que tem a capacidade de mudar para enganar os mecanismos de localização.
Pesquisadores do Cybereason Labs analisaram diferentes versões Ransomware para café de todo o mundo, descobriram que compartilham as mesmas técnicas de construção e entrega, mas também incorporam variáveis aleatórias para evitar a assinatura estática e a detecção baseada em hash.
Isso levou os pesquisadores a acreditar que todas as versões foram criadas pelo mesmo grupo de hackers que usava um algoritmo específico para misturar e combinar os ingredientes de maneira diferente, dando ao ransomware a capacidade de escapar de maneira semelhante ao APT.
Suas amostras Kofer analisados por especialistas, eles tinham hashes e recursos diferentes, mas os mesmos recursos e propriedades de ícones falsos, nomes de arquivos falsos e um padrão de embalagem específico que conecta as amostras, o que parece irrelevante entre si em outras condições, sob um único negócio.
Além dos mecanismos que ajudam a impedir a detecção de caixas de areia e as ferramentas de detecção dinâmica, as variantes da Kofer também incluem elementos decorativos projetados para enganar os pesquisadores.
“O fato de as variantes do Kofer virem de apenas uma fonte é uma prova da comercialização de ransomware em um nível totalmente novo”, disse Uri Sternfeld, da Cybereason.
“A Operação Kofer parece ser a primeira empresa drive-by de ransomware a incorporar um nível de complexidade APT / estado-nação, tornando seu produto uma ameaça cada vez maior para as empresas.
Quanto à multiplicação descontrolada das variantes, todas foram encontradas e comparadas nas semanas anteriores, enquanto as novas provavelmente são criadas a cada poucos dias ou mesmo horas!
A Cybereason acredita que a Operação Kofer já tem uma presença pan-europeia, como confirmado por pesquisadores que encontraram versões na Espanha, Polônia, Suíça, Turquia e outras.
SecNews