Истражувачите од Cyble Research and Intelligence Labs (CRIL) открија четири нови ransomware вируси - Putin Team, ScareCrow, BlueSky и Meow - кои беа изведени од протечениот изворен код на Conti ransomware.
Putin всушност беше изменет код на ransomware Conti. Групата тврди дека е со руско потекло, иако, според CRIL, нема докази што го поткрепуваат тоа.
Групата ја користи социјалната мрежа Telegrama за информации за своите жртви, а досега има идентификувано две жртви. Овој откуп го користи алгоритмот ChaCha20 за шифрирање на датотеки. ChaCha20 е омилен кај групите за откупни софтвери (ransomware) поради неговиот брз процес на шифрирање. По шифрирањето на фајловите, откупниот софтвер ги преименува со додавање на наставката .PUTIN. Ransomware-от обично е датотека README.txt што може да се најде во секој фајл и ја содржи врската Telegram, ID на жртвата и дополнителни упатства за дешифрирање на фајловите.
Слично функционира откупниот софтвер ScareCrow. Врз основа на Conti ransomware, тој шифрира датотеки и додава .CROW како екстензија. Неговиот ransomware содржи три профили на Telegrama преку кои жртвите можат да контактираат со групата.
Откупниот софтвер BlueSky се појави во втората половина на 2022 година и има многу преклопување со откупниот софтвер Conti и Babuk (чиј изворен код беше протечен во 2021 година), според CRIL. Наставката за шифрирани датотеки што може да се користи за да се идентификува инфекција со овој откупен софтвер е .BLUESKY. Групата ја користи веб-страницата Onion за да комуницира со жртвите.
Meow ransomware е најновиот меѓу наведените малициозен софтвер. Наставката што овој откупен софтвер ја додава на шифрирани датотеки е .MEOW, а овој ransomware содржи четири адреси за е-пошта и два профила на Telegrama за жртвите да контактираат со сајбер-криминалците.
Препораката на CRIL е да направите резервни копии, да ја изберете опцијата за автоматско ажурирање на софтверот и да избегнувате сомнителни линкови.