Обнаружен новый вариант программы-вымогателя, способный избежать обнаружения путем шифрования.
Исследователи кибербезопасности из компании Kroll, занимающейся консультированием по рискам и финансам, недавно обнаружили разновидность программы-вымогателя, известную как Cactus.
Помимо обычной операции — шифрования файлов и оставления после себя записки с требованием выкупа — у вредоносной программы также есть уникальный способ избежать обнаружения антивирусными программами и решениями для защиты конечных точек.
Трудно заметить
Как сообщает Пищит Компьютер, программа-вымогатель имеет три основных режима работы, один из которых — шифрование. После развертывания полезной нагрузки злоумышленники предоставят вредоносному ПО уникальный ключ AES, известный только им. Этот ключ используется для расшифровки файла конфигурации программы-вымогателя и открытого ключа RSA, необходимого для шифрования всего остального на целевой конечной точке. Ключ представляет собой строку HEX, жестко закодированную в двоичном коде шифровальщика.
Декодируя строку HEX, злоумышленники получают зашифрованные данные, которые они могут прочитать, если у них есть ключ AES.
«CACTUS, по сути, шифрует себя, что затрудняет его обнаружение и помогает обойти антивирусы и инструменты мониторинга сети», — сказала Bleeping Computer Лори Яконо, заместитель управляющего директора по киберрискам в Kroll.
Что еще делает Cactus интересным, так это то, что он имеет несколько режимов шифрования, включая быстрый режим. Если операторы решат запустить оба режима один за другим, файлы будут зашифрованы дважды и получат два расширения файлов.
Об операции программы-вымогателя Cactus известно очень мало. Мы не знаем, подвергаются ли в настоящее время нападениям какие-либо предприятия или ведутся переговоры о выплате. Хотя это не подтверждено, в некоторых сообщениях утверждается, что группа запрашивает «миллионы», требуя выплаты. Мы также не знаем, насколько успешной была группа в прошлом.
Как обычно, лучший способ защититься от программ-вымогателей — регулярно обновлять программное и аппаратное обеспечение, настраивать решения для кибербезопасности и обучать персонал опасностям фишинга и атак социальной инженерии.
С помощью: Пищит Компьютер (откроется в новой вкладке)
