Thiefquest Mac Ransomware και αποκρυπτογράφηση

Το Thiefquest είναι το όνομα ενός στελέχους ransomware που έκανε τους γύρους το 2020. Το κακόβουλο λογισμικό θεωρήθηκε αρχικά ως ransomware, καθώς θα εμφανίζει ένα προειδοποιητικό μήνυμα και θα ρίξει μια σημείωση λύτρων. Ωστόσο, μια στενότερη ανάλυση αποκάλυψε ότι το κακόβουλο λογισμικό δεν είναι ακριβώς ένα ransomware αλλά μάλλον ένα καθαριστικό.

Παρόλο που το Thiefquest θα εμφανίζει ένα προειδοποιητικό μήνυμα σε συστήματα Windows και Mac και θα ρίξει μια σημείωση λύτρων που ονομάζεται READ_ME_NOW.txt στην επιφάνεια εργασίας και θα υπήρχε μια συμβολοσειρά πορτοφολιού bitcoin στη σημείωση λύτρων, οι ερευνητές ασφαλείας αποκάλυψαν ότι αυτά τα χρήματα μοιάζουν περισσότερο μια δωρεά στους κακούς φορείς που χρησιμοποιούν το κακόβουλο λογισμικό.

Η ανάλυση έδειξε ότι το Thiefquest δεν είχε κατάλληλη υποδομή και σταθερά αναγνωριστικά, τα οποία θα μπορούσε να χρησιμοποιήσει για να εντοπίσει ποτέ ποιο θύμα έκανε την πληρωμή.

Οι ερευνητές πιστεύουν ότι η σημείωση λύτρων λειτουργεί περισσότερο σαν οθόνη καπνού, για να καλύψει τον πραγματικό σκοπό του κακόβουλου λογισμικού - αποβολή δεδομένων και κλοπή.

Για συστήματα MacOS, το Thiefquest διανέμεται σε πλαστά προγράμματα εγκατάστασης εφαρμογών με κακόβουλο λογισμικό, προσποιούμενοι ότι είναι δημοφιλείς εφαρμογές όπως το Ableton Live και το Mixed In Key - περιέργως και οι δύο εφαρμογές απευθύνονται σε άτομα που εργάζονται στη μουσική παραγωγή.

Μόλις αναπτυχθεί στον υπολογιστή του θύματος, το Thiefquest θα ξεκινούσε την κρυπτογράφηση αρχείων και τελικά θα εμφανίσει ένα αναδυόμενο παράθυρο με το μήνυμά του και το όνομα της σημείωσης λύτρων, καθώς και τη ζήτηση πληρωμής 50 δολαρίων.

Στο τρέχον τοπίο κακόβουλου λογισμικού, όπου οι ηθοποιοί απειλών στοχεύουν εταιρείες και οντότητες πολλών εκατομμυρίων δολαρίων, οι απαιτήσεις για λύτρα 50 $ φαίνεται γελοίες, αλλά ransomware όπως το Thiefquest δεν είναι ένα στοχευμένο εργαλείο επίθεσης. Ενώ οι περισσότεροι σύγχρονοι χειριστές ransomware ερευνά προσεκτικά τους στόχους τους και εκτελούν επιθέσεις ακριβείας, ransomware όπως το Thiefquest διανέμεται μέσω κακόβουλων καμπανιών spam ή κακόβουλων λήψεων που φιλοξενούνται στο διαδίκτυο.

Πρόσθετη έρευνα έδειξε ότι ο κώδικας του Thiefquest δεν περιέχει κλήσεις προς τη ρουτίνα αποκρυπτογράφησής του, οπότε ουσιαστικά δεν υπάρχει τρόπος να επαναφέρετε κρυπτογραφημένα αρχεία στέλνοντας χρήματα στους χειριστές του ransomware.

Ένα περίεργο χαρακτηριστικό του Thiefquest είναι ότι θα αναζητήσει πραγματικά εκτελέσιμα αρχεία και θα προσθέσει κακόβουλο κώδικα σε αυτά, δίνοντάς του μια συμπεριφορά που μοιάζει με ιό και καθιστώντας το ένα από τα πολύ λίγα στελέχη κακόβουλου λογισμικού που επηρεάζουν τα συστήματα MacOS.

Για χρήστες Mac, υπάρχει ένα δωρεάν εργαλείο αποκρυπτογράφησης για το Thiefquest που δημοσιεύεται στο διαδίκτυο. Το εργαλείο αναπτύχθηκε από την εταιρεία cybersecurity SentinelOne και βασίστηκε στην εύρεση μιας λειτουργίας αποκρυπτογράφησης στον κώδικα του κακόβουλου λογισμικού. Μπορείτε να κατεβάσετε το εργαλείο δωρεάν online και να το χρησιμοποιήσετε για την αποκρυπτογράφηση ενός συστήματος που έχει επηρεαστεί από το κακόβουλο λογισμικό Thiefquest.