Новая разновидность программы-вымогателя Thanos пытается и не может доставить записку о выкупе в скомпрометированные системы, заменяя основную загрузочную запись Windows (MBR) компьютеров.
Новый модуль Windows Locker был обнаружен исследователями безопасности из Palo Alto Networks, которые проанализировали две атаки и обнаружили, что программа-вымогатель Thanos успешно зашифрует устройства контролируемых государством организаций на Ближнем Востоке и в Северной Африке в начале июля 2020 года.
«Замена MBR - более разрушительный подход к программам-вымогателям, чем обычно», - сказал Роберт Фальконе, аналитик угроз Palo. «Жертвам придется приложить больше усилий, чтобы восстановить свои записи, даже если они заплатят выкуп».
"К счастью, в этом случае код ответственный за замену MBR вызвал проблему, потому что сообщение с требованием выкупа содержало недопустимый символы, что не повлияло на MBR и позволило системе нормально загрузиться ».
Ранее о подобном поведении сообщал вымогатель Petya, когда считалось, что он заменит MBR зараженных файлов. техника чтобы отобразить записку о выкупе, которая не покидала экран - она была там заблокирована.
Хотя они не смогли заменить MBR на скомпрометированных компьютерах, операторы программ-вымогателей Танос продолжали отображать заметки о выкупе, создавая текстовые файлы под названием «HOW_TO_DECIPHER_FILES.txt» и прося жертв заплатить 20.000 XNUMX долларов за восстановление данных. .
Следователи полагают, что злоумышленники получили доступ к целевым сетям до того, как Полезная нагрузка программ-вымогателей, поскольку они смогли найти действительные учетные данные в образцах, восстановленных после атаки.
Угрозы также использовали многоуровневый подход для доставки playloads с настраиваемыми скрипты PowerShell, встроенный C # и шелл-код, используемые для доставки программ-вымогателей локально или в другие системы в сетях жертв с использованием украденных учетных данных, перечисленных выше.
Пало не располагает информацией о том, могут ли правительственные организации Ближнего Востока и Севера Африка заплатили злоумышленникам за их «старания».
Программа-вымогатель Thanos - это функция Ransomware-as-a-Service (RaaS), которая рекламировалась на различных русскоязычных хакерских форумах с февраля 2020 года и позволяет «аффилированным лицам» создавать пользовательские полезные нагрузки вымогателей с помощью разработчика, предоставленного его разработчиком. программы-вымогатели.
Некоторые образцы Thanos ранее были помечены как программа-вымогатель Hakbit из-за различных расширений. шифрование используется партнерами RaaS, но Recorded Future Insikt Group утверждает, что это то же самое вредоносное ПО - после сравнения базовой функциональности и сходства кода.
Thanos также является первым вымогателем, использующим технику блокировки RIPlace вместе со многими другими довольно продвинутыми функциями, призванными превратить его в серьезную угрозу, поскольку оно может красть файлы и одновременно распространяться между различными устройствами Windows с помощью программы PSExec в сочетании. с помощью инструмента SharpExec.
Три месяца назад, в июне 2020 года, дочерним компаниям Таноса не удалось убедить многие европейские компании из Австрии, Швейцарии и других стран. Германия чтобы заплатить выкуп, который они потребовали после шифрования своих систем.
Greek
Chinese (Simplified)
English
Greek
Russian