EndPoint: вымогатель атакует Windows, ESXi и NAS

EndPoint — новый вариант ransomware, ранее известный как Midnight, который, по данным отчета, основан на фреймворке Babuk и нацелен на среды Windows, а также на системы ESXi и NAS. Вредоносное ПО сочетает шифрование файлов с угрозами эксфильтрации данных, используя технику double extortion, чтобы усилить давление на жертв и вынудить их заплатить выкуп.

Как работает EndPoint

После проникновения в систему EndPoint начинает действовать агрессивно и методично. Зашифрованные файлы получают расширение .endpoint, а записка с требованием выкупа предлагает жертвам выйти на связь через uTox ID.

Примечательно, что учетная запись электронной почты, указанная в записке, была прослежена до злоумышленников, связанных с Северной Кореей. Это может указывать на возможное участие государственных структур в подобных кибероперациях.

Что делает ransomware перед шифрованием

Перед началом шифрования EndPoint целенаправленно завершает критические процессы в ряде приложений. В первую очередь под удар попадают:

  • database-сервисы;
  • office applications;
  • email clients.

Затем вредоносное ПО выполняет очистку следов и затрудняет восстановление данных. Для этого оно удаляет теневые копии томов Windows, используя команду vssadmin.exe delete shadows /all /quiet. Таким образом, у жертвы резко сокращаются возможности для отката к предыдущим состояниям файлов.

Дополнительно EndPoint останавливает службы резервного копирования и безопасности, включая решения от Veeam, Sophos и Acronis. Это еще сильнее усложняет восстановление зараженных систем.

Масштаб шифрования и технические особенности

Программа шифрования охватывает широкий набор каталогов и типов файлов. Под воздействие попадают, в частности:

  • system files Windows;
  • Program Files;
  • AppData;
  • файлы загрузчика;
  • executables.

Для ускорения работы EndPoint использует multithreaded-подход, задействуя доступные ядра процессора на зараженной машине. Кроме того, вредоносное ПО применяет mutex с именем Mutexisfunnylocal, чтобы предотвратить повторный запуск и обеспечить стабильность своей работы.

Почему EndPoint вызывает особую тревогу

EndPoint демонстрирует, как ransomware продолжает эволюционировать, сочетая техническую сложность с хорошо отработанными методами давления на жертв. Такие образцы не только шифруют данные, но и стремятся лишить компании резервных копий, инструментов восстановления и времени на реакцию.

В условиях, когда злоумышленники активно эксплуатируют известные уязвимости и проверенные сценарии атак, EndPoint становится еще одним примером того, насколько опасными остаются современные ransomware-кампании для корпоративной инфраструктуры.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: