СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
07.03.2025
#Dev#ИБ#Инфра

Программа-вымогатель eByte: новая угроза кибербезопасности

Программа-вымогатель eByte: новая угроза кибербезопасности

Источник: www.cyfirma.com

Недавно исследователи в области кибербезопасности обнаружили новый вариант программы-вымогателя под названием eByte, разработанный на языке Go хакером, известным как EvilByteCode. Эта угроза, доступная на GitHub, вызывает серьезные опасения, особенно учитывая её аспекты, которые затрагивают как безопасность пользователей, так и функционирование операционных систем.

Передовые методы шифрования

eByte использует ChaCha20 для шифрования файлов и ECIES для безопасной передачи ключей. Данная программа-вымогатель ориентирована на системы Windows и способна радикально изменять пользовательские данные, шифруя файлы и изменяя системные настройки.

Функциональность программы

Основные характеристики программы-вымогателя eByte включают:

  • Установка веб-сервера, который инициирует подключение к базе данных для хранения данных.
  • Прослушивание порта 8080 и возможность взаимодействия через API-ендпоинты, такие как /launch, /graph-data и /dashboard-data.
  • Рекурсивное шифрование файлов на всех доступных дисках, с исключением критических системных файлов для сохранения целостности системы.
  • Переименование зашифрованных файлов с добавлением расширения .EByteLocker и создание уведомления о требовании выкупа.

После шифрования файлов пользователи получают уведомление с инструкциями по получению данных в обмен на криптовалюту и предостережением от изменений зашифрованных файлов.

Киберугроза и методы уклонения

Программа также включает механизм изменения обоев с использованием PowerShell и Windows API, что также используется для отображения сообщения о выкупе. Злоумышленник может манипулировать журналами, что затрудняет судебно-медицинское расследование, так как оставляет меньше следов.

Способы поведения eByte демонстрируют продвинутую тактику уклонения. Ключевые аспекты включают:

  • Исключение исполняемых и критически важных системных файлов из процессов шифрования.
  • Отслеживание жертв через уникальный идентификатор шкафчика, который передается на удаленный сервер.

Возможности восстановления

Связанный с eByte десятифатор, eByte-Rware-Decryptor, работает, изменяя процессы шифрования в обратном порядке, чтобы восстановить файлы с расширением .EByteLocker. Он использует методологию ECIES для расшифровки ключа и одноразового номера, с применением алгоритма ChaCha20 для восстановления данных.

Завершение

Обозреватели отмечают, что дизайн eByte имеет схожесть с программой-вымогателем Prince, что подчеркивает тенденцию в разработках вредоносного ПО. Обострение киберугрозы, как эта, подчеркивает необходимость усиления мер кибербезопасности, таких как:

  • Регулярное резервное копирование данных.
  • Защита конечных точек.
  • Повышение осведомленности пользователей.

В условиях роста количества изощренных программ-вымогателей необходимо быть особенно бдительными.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: