Истина где-то ниже
Август 23, 2018

У группировки Lazarus появился новый шифровальщик

Очень плохоПлохоСреднеХорошоОчень хорошо (Еще нет голосов, оставьте первым)
Загрузка...

Новый шифровальщик Ryuk отметился в серии таргетированных атак сразу в нескольких странах, успев за неполные две недели принести преступникам более $640 тыс. в биткойнах. Эксперты предполагают, что за зловредом стоит группировка Lazarus, которая, предположительно, связана с Северной Кореей.

О новой угрозе сообщила команда независимых ИБ-экспертов MalwareHunterTeam. Они обнаружили атаки на две американские компании и одну организацию в Германии. Названия этих предприятий остаются неизвестными. Еще в двух случаях от вымогателя пострадали частные лица.

Специалисты сразу отметили сходство Ryuk с шифровальщиком Hermes из арсенала Lazarus. Последний ранее использовался при попытке ограбления крупнейшего банка Тайваня Far Eastern International Bank (FEIB). Этот же вредонос применялся и против рядовых пользователей, распространяясь с помощью спам-рассылки.

Оба вредоноса используют практически одинаковые функции шифрования и скрипты. Есть сходство и в особенностях поведения: как два трояна маркируют преобразованные файлы, какие папки обходят стороной и т. д.

Среди новых особенностей Ryuk — список из 40 служебных процессов и 180 приложений, которые он останавливает перед началом работы. Это программы, способные помешать шифровальщику, например антивирусные службы и системы резервного копирования.

На данный момент эксперты затрудняются определить, как именно распространяется Ryuk. Среди возможных вариантов называют направленный фишинг и незащищенные RDP-соединения. Эксперты предполагают, что в каждом конкретном случае преступники выбирают индивидуальный сценарий и совершают многие операции вручную.

«Для работы вредоносу нужны права администратора, а их невозможно получить автоматически, — рассказал эксперт компании Check Point Марк Лечтик (Mark Lechtik). — Должно быть какое-то средство запуска, предоставляющее Ryuk эти привилегии. Однако мы не нашли следов, которые бы указывали на инициирующий механизм, будь то электронное письмо, [зловредный] документ или скрипт».

На целевой тип атак указывают и сообщения с требованием денег, подготовленные индивидуально в зависимости от платежеспособности жертвы. Аналитики опубликовали два текста, которые различаются как по содержанию, так и по размеру выкупа.

Первое послание относительно подробное и красноречивое — преступники представляются «серьезными людьми», предлагают бесплатно расшифровать один файл и обещают помощь с устранением бреши в безопасности. Второй текст более лаконичен — он не содержит описания криптоалгоритма и обещания с каждым днем увеличивать размер выкупа.

По информации Bleeping Computer, с адресатов более объемного послания преступники требуют 50 BTC. Во втором случае сумма меньше — 15–35 BTC. Все это говорит в пользу таргетированного характера атак, т. к. организаторы массовых кампаний не делают различий между жертвами.

Эксперты пока не нашли ключ для расшифровки файлов. Преступники используют комбинацию двух сильных алгоритмов, которая при правильном применении не оставляет возможности для обращения процедуры.

Ранее в августе ИБ-специалисты установили причастность группировки Lazarus еще к нескольким зловредным кампаниям. Анализ кода позволил экспертам предположить, что северокорейские киберпреступники объединены в два клана, каждый из которых сосредоточен на своей области задач.

Источник: https://threatpost.ru/lazarus-use-new-ransomware/27853/