СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
15.01.2025
#ИБ

Механика атак программ-вымогателей: анализ методов шифрования

Механика атак программ-вымогателей: анализ методов шифрования

В условиях растущей угрозы кибербезопасности команда X-team решила поделиться подробным исследованием работы атак программ-вымогателей. В своем новом блоге эксперты анализируют методику, напоминающую известную программу-вымогатель Maze, которая обычно распространяется через электронные письма с вредоносными вложениями на VBScript.

Этапы атаки

Функциональность атакующих программ базируется на сложных методах шифрования, таких как AES, что приводит к изменениям расширений файлов и созданию уведомлений о требовании выкупа. Основные шаги процесса атаки включают:

  • Создание определенных папок;
  • Загрузка вредоносных исполняемых файлов — Crawl.exe и Bootxr.exe с
    определенного IP-адреса;
  • Выполнение этих файлов с помощью команд PowerShell.

Анализ вредоносной программы

При детальном исследовании исполняемого файла специалисты обнаруживают подозрительные команды и вредоносные импорты, свидетельствующие о злонамеренном характере программы. Она использует многопоточные технологии для ускорения шифрования, что делает процесс еще более угрозообразующим.

Методы предотвращения восстановления файлов

Уникальной чертой программы является её способность удалять резервные копии файлов Windows с помощью сложных команд, тем самым минимизируя шансы на восстановление данных после шифрования. Выборочное шифрование файлов, таких как фотографии, видео и документы, позволяет атакующим оставить исполняемые файлы и библиотеки динамической компоновки (DLL) нетронутыми, что приводит к нарушению функционирования системы.

Заключение

Данная программа-вымогатель демонстрирует очевидные параллели с Maze, которая активно действовала в период с 2019 по 2020 год. Атака, как правило, начинается с вредоносного вложения формата VBScript, замаскированного под привлекательное письмо. При запуске этот файл инициирует процессы, включая загрузку майнера и программы-вымогателя в фоновом режиме. Важно отметить, что в системе быстро шифруются важные данные, а инструкции по расшифровке помещаются в каждую уязвимую папку и подпапку. Также программа генерирует текстовый файл Decryptfiles.txt, который призван помочь жертвам в процессе выполнения платежа.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу. Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: