EndPoint: вымогатель атакует Windows, ESXi и NAS
EndPoint — новый вариант ransomware, ранее известный как Midnight, который, по данным отчета, основан на фреймворке Babuk и нацелен на среды Windows, а также на системы ESXi и NAS. Вредоносное ПО сочетает шифрование файлов с угрозами эксфильтрации данных, используя технику double extortion, чтобы усилить давление на жертв и вынудить их заплатить выкуп.
Как работает EndPoint
После проникновения в систему EndPoint начинает действовать агрессивно и методично. Зашифрованные файлы получают расширение .endpoint, а записка с требованием выкупа предлагает жертвам выйти на связь через uTox ID.
Примечательно, что учетная запись электронной почты, указанная в записке, была прослежена до злоумышленников, связанных с Северной Кореей. Это может указывать на возможное участие государственных структур в подобных кибероперациях.
Что делает ransomware перед шифрованием
Перед началом шифрования EndPoint целенаправленно завершает критические процессы в ряде приложений. В первую очередь под удар попадают:
- database-сервисы;
- office applications;
- email clients.
Затем вредоносное ПО выполняет очистку следов и затрудняет восстановление данных. Для этого оно удаляет теневые копии томов Windows, используя команду vssadmin.exe delete shadows /all /quiet. Таким образом, у жертвы резко сокращаются возможности для отката к предыдущим состояниям файлов.
Дополнительно EndPoint останавливает службы резервного копирования и безопасности, включая решения от Veeam, Sophos и Acronis. Это еще сильнее усложняет восстановление зараженных систем.
Масштаб шифрования и технические особенности
Программа шифрования охватывает широкий набор каталогов и типов файлов. Под воздействие попадают, в частности:
- system files Windows;
- Program Files;
- AppData;
- файлы загрузчика;
- executables.
Для ускорения работы EndPoint использует multithreaded-подход, задействуя доступные ядра процессора на зараженной машине. Кроме того, вредоносное ПО применяет mutex с именем Mutexisfunnylocal, чтобы предотвратить повторный запуск и обеспечить стабильность своей работы.
Почему EndPoint вызывает особую тревогу
EndPoint демонстрирует, как ransomware продолжает эволюционировать, сочетая техническую сложность с хорошо отработанными методами давления на жертв. Такие образцы не только шифруют данные, но и стремятся лишить компании резервных копий, инструментов восстановления и времени на реакцию.
В условиях, когда злоумышленники активно эксплуатируют известные уязвимости и проверенные сценарии атак, EndPoint становится еще одним примером того, насколько опасными остаются современные ransomware-кампании для корпоративной инфраструктуры.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



