+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

IBM X-Force IRIS опублікувала аналіз шифрувальника PureLocker

IBM X-Force IRIS опублікувала аналіз шифрувальника PureLocker

Експерти компанії Intzer і підрозділи X-Force IRIS team опублікували аналіз шифрувальника PureLocker, що характеризується цілою низкою нетипових для програм подібних особливостей. Шифрувальник атакує насамперед корпоративні сервери під управлінням Windows і Linux.

Звертає на себе увагу мова програмування, якою він написаний, - PureBasic. Це далеко не найпоширеніша мова програмування; з іншого боку він, по-перше, крос-платформний, по-друге, як не дивно, багато антивірусів насилу справляються з написаними на ньому програмами.

Незвичайний вибір забезпечує зловмисникам низку переваг, - пишуть дослідники. - Вендори антивірусних продуктів важко справляються з генерацією надійних сигнатур для Бінарні файли PureBasic. До того ж, код PureBasic легко портується на Windows, Linux, OS X, що спрощує атаки на різні платформи, PureBasic підтримує навіть AmigaOS.

До нетипових для шифрувальників особливостей дослідники віднесли також його механізми протидії виявленню.

Наприклад, цей шкідливість намагається уникнути перехоплення функцій API функцій NTDLL за допомогою скачування іншої копії ntdll.dll і дозволу API-адрес з неї. Перехоплення API дозволяє антивірусним системам бачити, що саме робить кожна функція, яку викликає програма, коли та з якими параметрами.

Дослідники зазначили, що це поширена методика уникнення виявлення, але шифрувальники їй користуються дуже рідко.

Крім того, шкідливість викликає утиліту Windows regsrv32.exe для «тихої» установки бібліотечного компонента PureLocker - ніяких діалогових вікон користувачу не виводиться.

Пізніше шифрувальник перевіряє, що справді було здійснено запуск regsrv32.exe, що файлове розширення - .dll Або .ocx; крім того, він перевіряє, чи встановлено на машині 2019 рік та наявність адміністративних прав у жертви. Якщо хоч одна умова не виконана, шкідливість деактивується і не робить жодних дій.

На думку експертів, така поведінка нетипова для шифрувальників, які зазвичай не виявляють особливої ​​вибірковості; навпаки, вони прагнуть заразити якнайбільше машин.

Якщо ж шифрувальника «все влаштовує», він починає зашифровувати файли на машині жертви, використовуючи комбінацію алгоритмів AES+RSA, використовуючи вшитий в нього RSA-ключ. Усі зашифровані файли мають розширення .CR1, а оригінальні файли знищуються. Залишивши повідомлення з вимогою викупу, файл шифрувальника самознищується.

Тут ще одна несподіванка: у повідомленні від зловмисників сума викупу не називається. Кожній жертві пропонується написати на унікальну адресу у сервісі захищеної пошти Proton - з метою переговорів.

Експерти вважають, що PureLocker - це лише один етап комплексного ланцюжка зараження.

При аналізі коду дослідники виявили в коді PureLocker запозичення з коду бекдору more_eggs, який у даркнеті пропонується у форматі MaaS (шкідливість-як-послуга). Ним активно користуються фінансові кіберкримінальні угруповання Cobalt Group та FIN6.

Запозичення в коді, що вказують на зв'язок з Cobalt Group, відносяться до конкретного компонента, яким Cobalt користуються при своїх багатоступінчастих атаках, - DLL-дроперу, що використовується для захисту від виявлення та аналізу. Експерти вважають, що розробник more_eggs додав черговий набір шкідливих програм до арсеналу, який пропонується іншим кіберзлочинним угрупованням, забезпечивши колишній бекдор функціональністю шифрувальника.

Інші новини

Найкраща ціна