Neues Ransomware-as-a-Service-Tool „Thanos“ weist Verbindungen zu „Hakbit“ auf

Anmerkung der Redaktion: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Die Insikt Group ® von Recorded Future hat im Rahmen einer eingehenden Untersuchung neue Erkennungsmethoden für die Thanos -Ransomware entwickelt. Zu den Datenquellen gehörten die Recorded Future ® Plattform, Online-Multiscanner-Repositories und verschiedene OSINT-Tools.

Zur Zielgruppe dieser Untersuchung gehören Sicherheitsexperten, Netzwerkverteidiger und Experten für Bedrohungsinformationen, die sich für neue Bedrohungen durch Ransomware interessieren.

Executive Summary

Im Januar 2020 entdeckte die Insikt Group mithilfe der Recorded Future ® Plattform den Einsatz der RIPlace-Technik als Waffe und entdeckte dabei eine neue Ransomware-Familie namens Thanos, die im Exploit Forum zum Verkauf angeboten wurde und von einem Bedrohungsakteur mit dem Pseudonym „Nosophoros“ entwickelt wurde.

Nosophoros bot Thanos als privaten Ransomware-Builder an mit der Möglichkeit, neue Thanos-Ransomware-Clients basierend auf 43 verschiedenen Konfigurationsoptionen zu generieren. Recorded Future hat den Builder der Thanos-Ransomware analysiert, um die Bandbreite der von der Thanos-Ransomware unterstützten Funktionen zu erkennen, zu verstehen und auszunutzen. Der Thanos-Client ist in seiner Gesamtstruktur und Funktionalität einfach. Es ist in C# geschrieben und auch mit Verschleierung leicht zu verstehen, enthält jedoch einige erweiterte Funktionen wie die RIPlace-Technik.

Während dieser Untersuchung stellten wir eine Überschneidung zwischen unseren Erkennungen und einer Ransomware-Familie namens Hakbit fest. Aufgrund der Codeähnlichkeit, der Wiederverwendung von Zeichenfolgen und der Kernfunktionalität geht die Insikt Group mit hoher Sicherheit davon aus, dass als Hakbit verfolgte Ransomware-Beispiele mit dem von Nosophoros entwickelten Thanos-Ransomware-Builder erstellt wurden.

Die Benutzerfreundlichkeit von Thanos war für seinen Entwickler ein Vorteil, da Recorded Future die steigende Popularität der Malware in mehreren Untergrundforen beobachtet hat. Unserer Ansicht nach ist dies ein Hinweis auf den anhaltenden Trend, dass Bedrohungsakteure nach gebrauchsfertiger Ransomware suchen. Nosophoros hat Thanos in den letzten sechs Monaten mit regelmäßigen Updates und neuen Funktionen weiterentwickelt. Thanos wird als „Ransomware-Partnerprogramm“ beworben, ähnlich einem Ransomware-as-a-Service-Modell (RaaS). Thanos wird im Rahmen des Partnerprogramms weiterhin von Bedrohungsakteuren einzeln oder gemeinsam als Waffe eingesetzt.

Wichtige Urteile

• Thanos war die erste Ransomware-Familie, die mit der Verwendung der RIPlace-Technik wirbt. Dies ist ein reales Beispiel dafür, wie Untergrundakteure Proofs of Concept aus der Sicherheitsforschung als Waffe einsetzen.
• Die Thanos-Ransomware beinhaltet, mit Ausnahme der Verwendung von RIPlace, keine neuen Funktionen oder Techniken. Mit bewährten Methoden der Informationssicherheit, beispielsweise dem Verbot externer FTP-Verbindungen und dem Blacklisting von Downloads bekanntermaßen anstößiger Sicherheitstools, lassen sich die Risiken im Zusammenhang mit den beiden Hauptkomponenten von Thanos – Data Stealer und Lateral Movement – abwenden.
• Aufgrund der Codeähnlichkeit, der Wiederverwendung von Zeichenfolgen und der Kernfunktionalität geht Recorded Future mit hoher Sicherheit davon aus, dass es sich bei der Thanos-Ransomware um die gängige Ransomware handelt, die von anderen Sicherheitsforschern als Hakbit identifiziert wurde.
• By default, Thanos uses a random, 32-byte string generated at runtime as a password for the AES file encryption. The string is then encrypted with the ransomware operator’s public key and added to the ransom note. Without the corresponding private key, recovering encrypted files is impossible.
• Der Thanos Builder beinhaltet die Option, ein statisches Passwort für die AES-Dateiverschlüsselung zu verwenden. Wenn diese Option ausgewählt ist, enthalten die von Thanos generierten Clients das zum Verschlüsseln von Dateien verwendete AES-Passwort. Durch die Analyse des Clients könnte eine Datenwiederherstellung ohne Zahlung des geforderten Lösegelds möglich sein.
• Während der Ausführung des Thanos-Clients können die Verschlüsselungs- und Entschlüsselungsschlüssel aus dem Speicher wiederhergestellt werden, was einen Datenverlust ohne Zahlung des geforderten Lösegelds verhindern sollte.

Hintergrund

Im November 2019 veröffentlichte das Sicherheitsunternehmen Nyotron einen Proof of Concept für eine Ransomware-Technik namens RIPlace. Zum Zeitpunkt der Veröffentlichung umging RIPlace die meisten vorhandenen Anti-Ransomware-Methoden, schlüpfte an getesteten Antivirenprodukten (AV) vorbei und entging der Erkennung durch Endpoint Detection and Response (EDR)-Produkte. Nyotron hat den Fehler den aufgeführten Anbietern, darunter Microsoft, mitgeteilt. Laut Aussage von Microsoft gegenüber BleepingComputer war RIPlace zum Zeitpunkt der Erstellung dieses Artikels jedoch noch nicht in Ransomware beobachtet worden. „Diese Technik gilt daher nicht als Sicherheitslücke und da CFA eine tiefgreifende Verteidigungsfunktion ist, genügt sie nicht unseren Kriterien für Sicherheitsdienste.“ Laut BleepingComputer haben (wie zuletzt im November 2019 berichtet) nur Kaspersky und Carbon Black ihre Software geändert, um die Ausführung dieser Technik zu verhindern. Allerdings hat die Insikt Group bereits seit Januar 2020 beobachtet, dass Mitglieder des Dark Web und von Untergrundforen die RIPlace-Technik implementieren.

Abbildung 1: Timeline showing emergence of RIPlace technique in ransomware for sale. (Source: Recorded Future)

Die Insikt Group beobachtete die Thanos-Ransomware erstmals im Februar 2020, als sie vom Bedrohungsakteur Nosophoros im XSS-Forum aufgrund eines Funktionsupdates mit der RIPlace-Technik beworben wurde. Nosophoros bietet für den Thanos Builder entweder ein monatliches „Light“-Abonnement oder ein lebenslanges „Company“-Abonnement an. Die Unternehmensversion beinhaltet im Vergleich zur Light-Version zusätzliche Funktionen, wie etwa RootKit, RIPlace-Technologie, Client-Ablaufeinstellungen für Partnerprogramme und Verbreitung im LAN. Dieser Bericht basiert auf einer Analyse der lebenslangen „Unternehmens“-Version, die alle Funktionen der Thanos-Ransomware abdeckt.

Bedrohungsanalyse

Builder-Analyse

Der Thanos-Ransomware-Builder gibt den Betreibern der Ransomware die Möglichkeit, die Ransomware-Clients mit vielen verschiedenen Optionen zu erstellen. Die vollständige Benutzeroberfläche des Builders ist in Abbildung 2 zu sehen. Der Builder bietet einige Standardoptionen, erfordert jedoch die Konfiguration anderer Optionen durch den Betreiber, wie beispielsweise die Bitcoin-Adresse, die in die Lösegeldforderung aufgenommen wird. Weitere Optionen können nach Ermessen des Betreibers aktiviert werden.

Figur 2: Thanos ransomware builder options. (Source: Recorded Future)

Sobald der Bediener die Konfigurationsphase abgeschlossen hat, generiert der Builder eine ausführbare .NET-Datei im Verzeichnis seiner Wahl. Die generierten Binärdateien scheinen das Ergebnis des Ersetzens von Zeichenfolgen in einer Binärvorlagendatei basierend auf den ausgewählten Konfigurationsoptionen zu sein und basieren auf den Konfigurationsoptionen, die die Zeichenfolgenwerte „JA“ und „NEIN“ anstelle von tatsächlichen Booleschen Werten verwenden. Ein Beispiel für ein nicht verschleiertes Beispiel mit den Konfigurationsoptionen ist in Abbildung 3 zu sehen. Wenn Sie im Builder mit der Maus über jede dieser Optionen fahren, wird eine Hilfemeldung für die Option angezeigt. Die vollständige Liste der Optionen und ihrer Hilfemeldungen finden Sie in Anhang A.

Figur 3: Configuration from sample 81e81f0bbbdb831eda215033b7a7dbf2eed3812f4e58118f181a8e99e613179e. (Source: Recorded Future)

Der Builder ist auch für die Verwaltung der Verschleierung der endgültigen Binärdateien verantwortlich. Wenn keine Verschleierung aktiviert ist, enthalten die generierten .NET-ausführbaren Dateien Klartextzeichenfolgen, verfügen aber dennoch über zufällige Namen für Variablen, Methoden, Klassen und Namespaces. Der Builder bietet zwei Verschleierungsmethoden. Die primäre Methode besteht in der Verwendung einer geknackten Version des kommerziellen Verschleierungstools SmartAssembly , das von der Firma Redgate entwickelt wurde. Die sekundäre Methode ist eine Konfigurationsoption, die eine Inno Setup-Installationsdatei mit dem Client als eingebettete Ressourcendatei erstellt.

Ransomware-Client-Übersicht

Der Thanos-Client ist in C# geschrieben. Die generierten Clients hatten alle zufällige Zeichenfolgen für die Methodennamen, Variablennamen und Klassennamen.

Der Thanos-Client enthält 12 bis 17 Klassen, abhängig von den während der Erstellungsphase gewählten Optionen und Einstellungen. Einige der Klassen, wie etwa Program und Crypto, sind in jedem Build enthalten. Andere, wie etwa NetworkSpreading und Wake on LAN, sind nur dann in der endgültigen Binärdatei enthalten, wenn die entsprechende Option ausgewählt ist. Die folgende Tabelle enthält die Kernklassen und unsere Beschreibung ihres beabsichtigten Zwecks.

Klassenname	Beschreibung
AMSI	Versuche, die Windows Antimalware Scan Interface (AMSI) zu umgehen
AntiKill	Deaktiviert die Verwendung des Task-Managers und schützt Prozesse vor dem Beenden
Anti_Analyse	Prüft auf die Verwendung eines Debuggers, die Ausführung in Sandboxie, die Verwendung einer virtuellen Maschine, die Ausführung von Windows XP oder einer kleinen Festplatte
Krypto	Erstellt eine zufällig generierte Zeichenfolge und kodiert sie anschließend in Base64.
Kryptographie-Helfer	Enthält Hilfsfunktionen zur Verschlüsselung. Enthält außerdem den öffentlichen Schlüssel, der zum Dekodieren des AES-Verschlüsselungs-/Entschlüsselungsschlüssels verwendet wird
Deaktivieren	Deaktiviert Windows Defender
Leer	Leert den Papierkorb
Verschlüsselungen	Hauptfunktion, die die Ver-/Entschlüsselung der Dateien durchführt
FTP	Lädt Daten auf den FTP-Server hoch
Töten	Beendet die Antiviren-Engines von AVG oder MalwareBytes, wenn sie ausgeführt werden
Gesperrte Dateien	Versuche, gesperrte Dateien vor der Verschlüsselung freizugeben
Mutex-Helfer	Erstellt Mutex
NativeMethoden	Methoden für den Ruhezustand und den Ausführungszustand
Netzwerkverbreitung	Verwendung von SharpExec_x64.exe oder SharpExec_x86.exe zum Installieren von Clients auf anderen Computern
Prozesskritisch	Legt den Thanos-Prozess als „kritischen Prozess“ fest und stellt sicher, dass das System neu gestartet wird, wenn der Prozess beendet wird.
Programm	Die Hauptfunktion des Thanos-Clients
Hintergrund	Wenn diese Option aktiviert ist, wird ein benutzerdefinierter Desktop-Hintergrund als primärer Desktop-Hintergrund festgelegt.

Insikt hat im Abschnitt „Analyse der Thanos-Client-Funktionen“ zusätzliche Analysen zu einigen der interessanteren Klassen bereitgestellt.

Ausführungsablauf des Thanos-Clients

Der allgemeine Ausführungspfad von Thanos umfasst drei Hauptaktivitäten, die unten gezeigt und in Abbildung 4 dargestellt sind.

1. Erweiterte Optionen: Führt Aktionen im Zusammenhang mit den Konfigurationseinstellungen aus
2. Beendigung und Wiederherstellung verhindern: Stoppt Dienste und Prozesse, die die Ausführung verhindern, und löscht Sicherungsdateien und Schattenkopien.
3. Verschlüsseln und Hochladen: Dateien verschlüsseln und auf FTP hochladen, wenn dies zum Zeitpunkt der Erstellung konfiguriert wurde, und die Lösegeldforderung anzeigen

Figur 4: Processes created during the execution of a Thanos client. (Source: Recorded Future)

Erweiterte Optionen

The first phase consists mostly of executing the advanced options set during the build. These would include actions such as Kill Defender, Anti-VM, and AMSI Bypass. Within the client itself, the configuration settings can be determined by a list of variables and string arrays at the end of the Program Class. Figure 5 depicts how the configuration settings are set to “yes” or “no” within the client.

Abbildung 5: Configuration options as class variables in the Thanos client. (Source: Recorded Future)

Kündigung und Wiederherstellung verhindern

Nachdem der Client die Konfigurationsaktionen ausgeführt hat, führt er als Nächstes eine Reihe von Aufgaben aus, um einen erfolgreichen Betrieb sicherzustellen und Backups und Schattenkopien zu löschen. Diese Tasks verursachen mehrere Kindprozesse, jeder mit unterschiedlichen Argumenten für net.exe, taskkill.exe, del.exe und vssadmin.exe. Anhang B behandelt diese Maßnahmen ausführlicher.

Verschlüsseln und Hochladen

Schließlich durchsucht der Thanos-Client die angeschlossenen Speicherlaufwerke und versucht, Dateien mit den im Builder konfigurierten Dateierweiterungen zu finden und zu verschlüsseln (die Standarderweiterungen finden Sie in Anhang C). Wenn die Option zum Hochladen von Dateien auf einen FTP-Server aktiviert ist (im Builder „Datastealer“ genannt), werden Dateien mit Erweiterungen, die mit einer zum Build-Zeitpunkt konfigurierten Liste übereinstimmen, vor der Verschlüsselung hochgeladen. Die Standarderweiterungen zum Hochladen sind „.docx“, „.pdf“, „.xlsx“ und „.csv“. Die Erweiterungen verschlüsselter Dateien werden in einen beim Build-Typ festgelegten Wert geändert, mit dem Standardwert „.crypted“.

Nach der Verschlüsselung der Dateien wird die Lösegeldforderung (siehe Abbildung 6) auf dem Desktop sowie in allen Ordnern gespeichert, in denen Dateien verschlüsselt wurden. Der standardmäßige Lösegelddateiname lautet „HELP_ME_RECOVER_MY_FILES.txt.“ Der Thanos-Client hat außerdem die Möglichkeit, das Hintergrundbild in ein Bild zu ändern, das von einem vom Bedrohungsakteur festgelegten HTTP-Server heruntergeladen wird.

Abbildung 6: Default ransom note. (Source: Recorded Future)

The Thanos client can be configured to create a log of the encryption process that completed and upload that log to a threat actor’s FTP server. Besides the FTP functionality and the ability to download a wallpaper from a web server, the Thanos client does not have any built-in functionality for command and control (C2) communication.

Wenn dies konfiguriert ist, löscht sich der Thanos-Client nach Abschluss aller vorherigen Schritte selbst.

Analyse der Thanos-Clientfunktionen

Um die Fähigkeiten der Thanos-Ransomware zu verstehen, hat Recorded Future über 80 Clients mit unterschiedlichen aktivierten Konfigurationsoptionen generiert. In diesem Abschnitt werden sechs der Hauptmerkmale der Ransomware hervorgehoben.

Verschlüsselungsprozess

Der Thanos-Client verwendet AES-256 im CBC-Modus, um Benutzerdateien zu verschlüsseln. Der für die AES-Verschlüsselung verwendete Schlüssel wird mithilfe des Windows- Funktionsaufrufs rfc2898DeriveBytes aus einem Kennwort und einem Salt abgeleitet. Nachdem der Client diesen Schlüssel zum Verschlüsseln aller gefundenen Dateien verwendet hat, verschlüsselt er das verwendete AES-Passwort mithilfe eines eingebetteten öffentlichen 2048-RSA-Schlüssels. Die Base64-Zeichenfolge dieses verschlüsselten Passworts wird der Lösegeldforderung hinzugefügt und weist das Opfer an, die verschlüsselte Passwortzeichenfolge an die Bedrohungsakteure zu senden, um ihre Dateien zu entschlüsseln. Zum Entschlüsseln des AES-Passworts wird der private Schlüssel zusammen mit dem öffentlichen Schlüssel benötigt, der zum Verschlüsseln des Passworts verwendet wurde. Nur der Betreiber, der den Thanos-Client erstellt hat, sollte Zugriff auf den privaten Schlüssel haben.

That password is either statically included in the binary or dynamically created at runtime. The choice is decided by a builder option to use a static password. The help text for this option reads: “All computers in the same network will be encrypted using the same encryption password.” If a dynamic key is chosen, then before starting the encryption process the Thanos client uses the Windows RNGCryptoServiceProvider to generate a random, 32-byte base64 string that will be used as the AES password. If the Thanos client is configured to use a static password, then the password is stored in the binary itself. This means that if a Thanos client is recovered after encryption has occurred, there is a chance that the victims may be able to recover their files without paying the ransom.

Der Thanos-Client unterstützt auch einen „schnellen“ Verschlüsselungsmodus, bei dem nur ein Teil jeder Datei verschlüsselt wird. Die Größe des verschlüsselten Teils wird zur Build-Zeit festgelegt. Wenn dieser Modus aktiviert ist, verschlüsselt der Client eine konfigurierte Datenmenge aus der Datei, überschreibt die Datei mit dem verschlüsselten Inhalt ab dem Anfang des letzten und stellt eine Zeichenfolge im Format „Thanos--“. Der dafür verantwortliche Code ist in Abbildung 7 zu sehen.

Abbildung 7: Thanos string included in partial encryption “Fast” mode function. (Source: Recorded Future)

RIPlace

Eine der Funktionen auf der „Unternehmensebene“ ist die Möglichkeit, den Verschlüsselungsprozess des Thanos-Clients so zu ändern, dass die RIPlace-Technik verwendet wird. Wie bereits erwähnt, handelt es sich bei RIPlace um eine im November 2019 vom Sicherheitsunternehmen Nyotron veröffentlichte Technik, mit der bestimmte Anti-Ransomware-Maßnahmen umgangen werden können.

Einen detaillierten Einblick in die Technik finden Sie auf der Website von Nyotron. Auf einer hohen Ebene beschreibt die Technik einen Prozess zum Verschlüsseln einer Zieldatei durch Nutzung symbolischer Links über einen MS-DOS-Gerätenamen, um eine verschlüsselte Version der Datei an den ursprünglichen Dateispeicherort zu kopieren.

Wenn diese Option im Thanos-Builder aktiviert ist, verfügen generierte Clients über eine zusätzliche Klasse und eine Modifikation des Verschlüsselungs-Workflows, um die RIPlace-Technik zu verwenden.

Abbildung 8: RIPlace class entry function. (Source: Recorded Future)

Der geänderte Arbeitsablauf ist relativ unkompliziert. Die für den RIPlace-Workflow verantwortliche Funktion ist in Abbildung 8 zu sehen. Zunächst kopiert der Thanos-Client den Inhalt der Zieldatei in ein temporäres Verzeichnis, verschlüsselt den Inhalt der Datei und speichert den verschlüsselten Dateiinhalt in der Datei im temporären Verzeichnis. Anschließend führt der Client den in Abbildung 9 dargestellten Code aus, wobei ein MS-DOS-Gerätename mit dem Pfad zur Zieldatei und dem Gerätenamen „Resolve“ erstellt wird. MoveFileExW wird aufgerufen, um die verschlüsselte Datei im temporären Verzeichnis auf das neue MS-DOS-Gerät zu verschieben, das als symbolischer Zeiger auf den Zieldateipfad fungiert. Das Endergebnis ist, dass die Zieldatei mit der verschlüsselten Kopie der Datei überschrieben wird.

Abbildung 9: Function executing the RIPlace technique. (Source: Recorded Future)

Seitliche Bewegung

Die Lateral-Movement-Funktion des Thanos-Clients wird hauptsächlich durch die Verwendung des SharpExec-Tools gesteuert, einem offensiven Sicherheitstool, das speziell für die Lateral Movement-Funktion entwickelt wurde. Der Client lädt die SharpExec-Tools aus seinem GitHub-Repository herunter (die Download-URLs finden Sie im Abschnitt „Erkennung und Schadensbegrenzung“).

Zuerst scannt der Thanos-Client das lokale Netzwerk, um eine Liste der Online-Hosts zu erhalten. Dann verwendet Thanos die PSEXEC-ähnliche Funktionalität von SharpExec, die es ermöglicht, den Thanos-Client auf Remotecomputern auszuführen.

Abbildung 10: Network spreading function using SharpExec. (Source: Recorded Future)

Wake on LAN (WoL)

Um sich seitlich über das lokale Netzwerk eines Opfers zu verbreiten, nutzt Thanos eine Hardwarefunktion einiger Computer namens „Wake on LAN“ (WoL), die dazu führt, dass sich der Host einschaltet. Dies geschieht durch das Senden eines WoL-„Magic Packet“ im in Anhang D beschriebenen Format.

Um dies zu erreichen, verwendet der Client zunächst das Address Resolution Protocol (ARP), um eine Zuordnung von IP-Adressen und Media Access Control (MAC)-Adressen zu erstellen. Diese Informationen sind in einer ARP-Tabelle enthalten.

Mit den IP-Adressen und MAC-Adressen kann der Client das „Magic Packet“ erstellen und an die Remote-Hosts senden. Der Thanos-Client versucht dann, mit dem Benutzernamen „Administrator“ oder „Admin“ eine Verbindung zum Laufwerk des Remote-Hosts herzustellen. Wenn die Verbindung erfolgreich ist, wird das Remote-Laufwerk zur Liste der zu verschlüsselnden Laufwerke hinzugefügt.

Figure 11: Wake on LAN functions. (Source: Recorded Future)

The WoL functionality is similar to that of the WoL implementation observed in Ryuk.

Datendiebstahl

Der Thanos-Client folgt einem gängigen Trend bei Ransomware-Operationen, bei dem die Opfer mit der öffentlichen Verbreitung vertraulicher Dateien erpresst werden. Daher verfügt er über die Möglichkeit, alle Dateien mit einem festgelegten Satz von Erweiterungen zu exfiltrieren. Die Standarderweiterungen zum Hochladen sind „.docx“, „.pdf“, „.xlsx“ und „.csv“, diese können jedoch zur Build-Zeit geändert werden. Die Exfiltration erfolgt über einen FTP-Webclient. Die Standardparameter für die FTP-URL, den Benutzernamen und das Kennwort sind alle in den Endclients sichtbar, selbst nach einigen Verschleierungsvorgängen. Der Code, der dies verwaltet, ist in Abbildung 12 zu sehen.

Figure 12: FTP stealing function. (Source: Recorded Future)

Ausblick

Recorded Future veröffentlichte im Februar 2020 einen Bericht, in dem eine Reihe von Ransomware-Trends für das Jahr vorhergesagt wurden, darunter:

• Der Ransomware-as-a-Service-Markt wird weiter florieren
• Es wird weiterhin eine Trennung zwischen den „Besitzenden“ und den „Nichtbesitzenden“ von Ransomware geben.

We believe these predictions are representative of the path forward for Thanos. The RaaS model has been widely successful for other operators as the quickest means of payout outsourcing their operations to threat actors. Insikt Group has observed that Nosophoros titled the original post on Exploit Forum “Thanos Ransomware Affiliate Program.” As previously mentioned, those who choose to purchase or acquire a “light” build of Thanos can opt into the affiliate program, though qualifications of becoming an affiliate are unknown. Others, however, can choose to purchase the full “company” version of Thanos and have the ability to start their own affiliate or RaaS operation. At the time of publication, Insikt Group has observed that Nosophoros has received positive endorsements from the community, with claims that the tool “works flawlessly” and requests to “keep the updates coming.” Thanos is under active development by Nosophoros. Recorded Future assesses with high likelihood that Thanos will continue to be weaponized by threat actors either individually and collectively as part of the affiliate program.

Und schließlich ist durch die Identifizierung der Hakbit-Samples als zur Thanos-Ransomware-Familie gehörend klar, dass Thanos in den vergangenen sechs Monaten kontinuierlich eingesetzt wurde. Wie bereits erwähnt, wurden in jede neu beobachtete Probe im Laufe der Zeit zusätzliche Funktionen integriert. Dies legt die Vermutung nahe, dass Nosophoros die Ransomware aktiv weiterentwickelt – ein Trend, der voraussichtlich nicht so schnell enden wird.

Anmerkung der Redaktion: Dieser Beitrag war ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.