Главная » Новини » «Осторожный» шифровальщик на PureBasic атакует корпоративные серверы

«Осторожный» шифровальщик на PureBasic атакует корпоративные серверы

«Осторожный» шифровальщик на PureBasic атакует корпоративные серверы

Эксперты компании Intzer и подразделения IBM X-Force IRIS team обнаружили шифровальщика PureLocker, имеющего ряд нетипичных для программ подобного рода особенностей. Прежде всего, он атакует корпоративные серверы под управлением Windows и Linux.

Написан вирус на не самом популярном языке программирования PureBasic. С одной стороны он кросс-платформенный, с другой, как ни странно, многие антивирусы с трудом справляются с написанными на нем программами.

К нетипичным для шифровальщикам особенностям исследователи отнесли также его механизмы противодействия обнаружению. Например, этот вредонос пытается избежать перехвата функций API функций NTDLL посредством скачивания другой копии ntdll.dll и разрешения API-адресов из нее. Перехват API позволяет антивирусным системам видеть, что именно делает каждая функция, которую вызывает программа, когда и с какими параметрами. Исследователи отметили, что это распространенная методика ухода от обнаружения, но шифровальщики ею пользуются весьма редко.

Кроме того, зловред вызывает утилиту Windows regsrv32.exe для «тихой» установки библиотечного компонента PureLocker – никаких диалоговых окон пользователю не выводится.

Позднее шифровальщик проверяет, что действительно был произведен запуск regsrv32.exe, что файловое расширение – .dll Или .ocx; кроме того, он проверяет, установлен ли на машине 2019 г. и наличие административных прав у жертвы. Если хоть одно условие не выполнено, вредонос деактивируется и не производит никаких действий.

По мнению экспертов, такое поведение нетипично для шифровальщиков, которые обычно не проявляют особой избирательности; наоборот, они стремятся заразить как можно больше машин.

Если же шифровальщика «все устраивает», он начинает зашифровывать файлы на машине жертвы, используя комбинацию алгоритмов AES+RSA, используя вшитый в него RSA-ключ. Все зашифрованные файлы снабжаются расширением .CR1, а оригинальные файлы уничтожаются. Оставив сообщение с требованием выкупа, файл шифровальщика самоуничтожается.

Здесь еще одна неожиданность: в сообщении от злоумышленников сумма выкупа не называется. Каждой жертве предлагается написать на уникальный адрес в сервисе защищенной почты Proton – с целью переговоров.

Эксперты считают, что PureLocker – это лишь один этап комплексной цепочки заражения.

При анализе кода исследователи обнаружили в коде PureLocker заимствования из кода бэкдора more_eggs, который в даркнете предлагается в формате MaaS (вредонос-как-услуга). Им активно пользуются финансовые киберкриминальные группировки Cobalt Group и FIN6.

Заимствования в коде, указывающие на связь с Cobalt Group, относятся к конкретному компоненту, которым Cobalt пользуются при своих многоступенчатых атаках, – DLL-дропперу, используемому для защиты от обнаружения и анализа. Эксперты считают, что разработчик more_eggs добавил новый набор вредоносных программ к арсеналу, который предлагается другим киберпреступным группировкам, снабдив прежний бэкдор функциональностью шифровальщика.

Вы можете подписаться на наш Telegram-канал для получения наиболее интересной информации

Дякуємо: ko.com.ua

Оставить комментарий

Ваш email нигде не будет показан. Обязательные для заполнения поля помечены *

*