0 |
Специалисты в области информационной безопасности фирмы Invincea на прошлой неделе сообщили о найденном ими образце кода, демонстрирующего новый уровень в развитии вымогательского ПО ransomware.
Анализ этого модифицированного образца известной программы Cerber, показал, что помимо шифрования файлов и блокирования экрана, используемых большинством видов ransomware, этот код несёт дополнительную «полезную» нагрузку: запускает UDP-пакеты в подсеть через порт 6892. Это, типичное поведение для ботов DDoS впервые наблюдается у ransomware.
Этот код распространяется с заражёнными документами RTF. Он активируется при выполнении макроса VBScript, который загружает и запускает вредоносную программу. Сначала выполняется основной двоичный модуль, который шифрует файлы на диске и блокирует доступ к компьютеру. Затем запускается второй модуль, 3311.tmp, начинающий отправлять большие объёмы сетевого трафика с поражённой системы.
В чем смысл такого усовершенствования? Далеко не все пострадавшие от ransomware платят вымогателям за разблокировку компьютера. Добавив DDoS-бот преступники могут получать прибыль даже с таких злостных неплательщиков, в виде сетевого трафика. Сдача ботов в аренду через Тёмный Веб остаётся очень доходным бизнесом несмотря на то, что расценки несколько подупали в последние пару лет.
Если только пользователь не переустановит систему с нуля, то даже если он уплатил выкуп, остаётся большой шанс, что DDoS-бот продолжит работать на инфицированном компьютере.
Эксперты считают, что обнаруженный ими штамм Cerber это лишь первая ласточка, и в ближайшие месяцы такая многоцелевая направленность станет нормой для ransomware.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
0 |