`

Schneider Electric - Узнайте все про энергоэффективность ЦОД


СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Что для вас является метрикой простоя серверной инфраструктуры?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

«Осторожный» шифровальщик на PureBasic атакует корпоративные серверы

0 
 
«Осторожный» шифровальщик на PureBasic атакует корпоративные серверы

Эксперты компании Intzer и подразделения IBM X-Force IRIS team обнаружили шифровальщика PureLocker, имеющего ряд нетипичных для программ подобного рода особенностей. Прежде всего, он атакует корпоративные серверы под управлением Windows и Linux.

Написан вирус на не самом популярном языке программирования PureBasic. С одной стороны он кросс-платформенный, с другой, как ни странно, многие антивирусы с трудом справляются с написанными на нем программами.

К нетипичным для шифровальщикам особенностям исследователи отнесли также его механизмы противодействия обнаружению. Например, этот вредонос пытается избежать перехвата функций API функций NTDLL посредством скачивания другой копии ntdll.dll и разрешения API-адресов из нее. Перехват API позволяет антивирусным системам видеть, что именно делает каждая функция, которую вызывает программа, когда и с какими параметрами. Исследователи отметили, что это распространенная методика ухода от обнаружения, но шифровальщики ею пользуются весьма редко.

Кроме того, зловред вызывает утилиту Windows regsrv32.exe для «тихой» установки библиотечного компонента PureLocker – никаких диалоговых окон пользователю не выводится.

Позднее шифровальщик проверяет, что действительно был произведен запуск regsrv32.exe, что файловое расширение – .dll Или .ocx; кроме того, он проверяет, установлен ли на машине 2019 г. и наличие административных прав у жертвы. Если хоть одно условие не выполнено, вредонос деактивируется и не производит никаких действий.

По мнению экспертов, такое поведение нетипично для шифровальщиков, которые обычно не проявляют особой избирательности; наоборот, они стремятся заразить как можно больше машин.

Если же шифровальщика «все устраивает», он начинает зашифровывать файлы на машине жертвы, используя комбинацию алгоритмов AES+RSA, используя вшитый в него RSA-ключ. Все зашифрованные файлы снабжаются расширением .CR1, а оригинальные файлы уничтожаются. Оставив сообщение с требованием выкупа, файл шифровальщика самоуничтожается.

Здесь еще одна неожиданность: в сообщении от злоумышленников сумма выкупа не называется. Каждой жертве предлагается написать на уникальный адрес в сервисе защищенной почты Proton – с целью переговоров.

Эксперты считают, что PureLocker – это лишь один этап комплексной цепочки заражения.

При анализе кода исследователи обнаружили в коде PureLocker заимствования из кода бэкдора more_eggs, который в даркнете предлагается в формате MaaS (вредонос-как-услуга). Им активно пользуются финансовые киберкриминальные группировки Cobalt Group и FIN6.

Заимствования в коде, указывающие на связь с Cobalt Group, относятся к конкретному компоненту, которым Cobalt пользуются при своих многоступенчатых атаках, – DLL-дропперу, используемому для защиты от обнаружения и анализа. Эксперты считают, что разработчик more_eggs добавил новый набор вредоносных программ к арсеналу, который предлагается другим киберпреступным группировкам, снабдив прежний бэкдор функциональностью шифровальщика.


Вы можете подписаться на наш Telegram-канал для получения наиболее интересной информации

0 
 

Напечатать Отправить другу

Читайте также

 
 
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT