Специалисти по компютърна сигурност алармираха за рансъмуер, използващ нова техника, за да остане под радара на продуктите за защита и криптиране на данните.

Става дума за Snatch, кибервирус, познат на секюрити общността от 2018. Това, което го отличава от другите криптозаплахи обаче е това, че след като бъде доставен в системата, тя бива рестартирана в безопасен режим (Windows), когато и започва процеса по криптиране на информацията.

Британската компания за киберсигурност Sophos засича този конкретен вариант на рансъмуера, след като техни клиенти се обръщат към тях за помощ. Самата групировка зад Snatch е известна от лятото на миналата година, но не с масови кампании, а с целенасочени акции, целящи компрометирането на мрежите на конкретни организации и компании. Хакерите използват колекция от всеобщо достъпни инструменти и програми, използвани от администратори и професионалисти по сигурност, както и със свой зловреден арсенал, а освен рансъмуер, те разпространяват и софтуер, с който успешно крадат данни – инструментариум, регистриран и в тази нова вълна атаки. Самият рансъмуер е написан на Go, език, позволяващ лесното пренасяне на изготвения на него софтуер за различни платформи, но засега са засечени варианти единствено за Windows – от версия 7 до 10 включително (х86 и х64).

Първоначалният вектор в тези атаки се явява компрометирането на зле защитени или конфигурирани услуги и мрежов софтуер на организациите. След като успеят да проникнат в мрежата им, те започват анализ на периметъра в търсене на повече потенциални жертви, след което получената информация се качва на сървър, контролиран от хакерите.

Специално внимание бива обърнато на антивирусните продукти, които се предполага, че защитават системата, което и обяснява доставянето на програми, като Process Hacker, IObit Uninstaller, PowerTool и PsExec. Дни или в някои случаи даже седмици след първоначалното проникване в мрежата, те доставят и рансъмуера, който идва във вид на „петцифрен код, идентифициращ жертвата“_pack.exe. Хакерите успяват да установят и автостартираща услуга и съответния регистров ключ, осигуряващ рестартирането на системата в безопасен режим, когато и започва самият процес по криптиране. Необичайният метод, избран от престъпниците – стартиране на системата в безопасен режим, според Sophos, предотвратява засичането на рансъмуера от продуктите за защита, повечето, от които са неактивни в подобни случаи.

„SophosLabs чувстват, че сериозността на риска, поставен от рансъмуер, който се стартира в безопасен режим не може да се пренебрегне и че ние трябва да публикуваме тази информация като предупреждение за останалата част от защитната индустрия, както и към крайните потребители“, обясняват от Sophos.

ДОБАВИ КОМЕНТАР

avatar
  Абонирай се  
Извести ме за