Thanos ransomware is the first to use the RIPlace anti-ransomware evasion technique revealed by a security researcher, as well as other numerous advanced features that make it a threat to watch out for.
This ransomware began to be distributed privately in late October 2019, but it wasn't until January 2020 when victims were looking for help to decrypt what was called Chimera Ransomware at that time. Later, some users were still seeking help on BleepingComputer forums for the same ransomware, that it had changed its name to Hakbit.
Recorded Future, revealed that this ransomware is called Thanos and is being marketed as a RaaS (Ransomware as a Service) en foros rusos de crackers desde febrero. Promocionado por un usuario llamado Nosophoros, Thanos está reclutando crackers y distribuidores de malware para distribuir su ransomware. Para que esta oferta sea tentadora, estos reciben una parte de los beneficios, la cual está entre un 60-70% de los pagos de los rescates.
Los afiliados que se unen a este servicio reciben acceso a un creador privado de ransomware que se usa para generar ejecutables personalizados del ransomware. Mientras muchos ransomware escritos en C# no tienen un alto nivel de sofisticación, Thanos tiene muchas características avanzadas que lo hacen muy superior al resto. El creador permite elegir una amplia variedad de características que se pueden incluir en el ejecutable, incluyendo un ladrón de ficheros sin cifrar, distribución automática a otros dispositivos y la inclusión de la técnica de evasión RIPlace.
Last year, muchos malware de cifrado han adoptado la táctica del robo de los archivos de la víctima antes de cifrar sus archivos. Luego de esto, amenazan a las víctimas de publicar los ficheros robados en sitios de data leaks si no se paga el rescate.
Básicamente esto se consigue mediante las copias en la nube de las empresas o con el copiado manual de los ficheros a un servidor controlado por el atacante mediante FTP mientras el malware cifra el PC. Además de esto, incluye una característica de distribución automática del ransomware de forma lateral a otros dispositivos de la red.