Рансъмуер криптира информацията в безопасен режим
Специалисти по компютърна сигурност сигнализираха за рансъмуер, употребяващ нова техника, с цел да остане под радара на продуктите за отбрана и криптиране на данните.
Става дума за Snatch, кибервирус, прочут на секюрити общността от 2018. Това, което го отличава от другите криптозаплахи обаче е това, че откакто бъде доставен в системата, тя бива рестартирана в безвреден режим (Windows), когато и стартира процеса по криптиране на информацията.
Британската компания за киберсигурност Sophos засича този съответен вид на рансъмуера, откакто техни клиенти се обръщат към тях за помощ. Самата формация зад Snatch е известна от лятото на предходната година, само че не с всеобщи акции, а с целенасочени акции, целящи компрометирането на мрежите на съответни организации и компании. Хакерите употребяват сбирка от всеобщо налични принадлежности и стратегии, употребявани от админи и експерти по сигурност, както и със собствен злотворен боеприпас, а с изключение на рансъмуер, те популяризират и програмен продукт, с който сполучливо крадат данни – инструментариум, регистриран и в тази нова вълна офанзиви. Самият рансъмуер е написан на Go, език, допускащ лесното преместване на направения на него програмен продукт за разнообразни платформи, само че към този момент са засечени разновидности само за Windows – от версия 7 до 10 в това число (х86 и х64).
Първоначалният вектор в тези офанзиви се явява компрометирането на зле предпазени или конфигурирани услуги и мрежов програмен продукт на организациите. След като съумеят да обхванат в мрежата им, те стартират разбор на периметъра в търсене на повече евентуални жертви, след което получената информация се качва на сървър, следен от хакерите.
Специално внимание бива обърнато на антивирусните артикули, които се допуска, че пазят системата, което и изяснява доставянето на стратегии, като Process Hacker, IObit Uninstaller, PowerTool и PsExec. Дни или в някои случаи дори седмици след първичното навлизане в мрежата, те доставят и рансъмуера, който идва във тип на „ петцифрен код, идентифициращ жертвата “_pack.exe. Хакерите съумяват да открият и автостартираща услуга и съответния регистров ключ, осигуряващ рестартирането на системата в безвреден режим, когато и стартира самият развой по криптиране. Необичайният способ, определен от нарушителите – пускане на системата в безвреден режим, съгласно Sophos, предотвратява засичането на рансъмуера от продуктите за отбрана, множеството, от които са неактивни в сходни случаи.
„ SophosLabs усещат, че сериозността на риска, подложен от рансъмуер, който се започва в безвреден режим не може да се пренебрегне и че ние би трябвало да публикуваме тази информация като предизвестие за останалата част от защитната промишленост, както и към крайните консуматори “, изясняват от Sophos.
Става дума за Snatch, кибервирус, прочут на секюрити общността от 2018. Това, което го отличава от другите криптозаплахи обаче е това, че откакто бъде доставен в системата, тя бива рестартирана в безвреден режим (Windows), когато и стартира процеса по криптиране на информацията.
Британската компания за киберсигурност Sophos засича този съответен вид на рансъмуера, откакто техни клиенти се обръщат към тях за помощ. Самата формация зад Snatch е известна от лятото на предходната година, само че не с всеобщи акции, а с целенасочени акции, целящи компрометирането на мрежите на съответни организации и компании. Хакерите употребяват сбирка от всеобщо налични принадлежности и стратегии, употребявани от админи и експерти по сигурност, както и със собствен злотворен боеприпас, а с изключение на рансъмуер, те популяризират и програмен продукт, с който сполучливо крадат данни – инструментариум, регистриран и в тази нова вълна офанзиви. Самият рансъмуер е написан на Go, език, допускащ лесното преместване на направения на него програмен продукт за разнообразни платформи, само че към този момент са засечени разновидности само за Windows – от версия 7 до 10 в това число (х86 и х64).
Първоначалният вектор в тези офанзиви се явява компрометирането на зле предпазени или конфигурирани услуги и мрежов програмен продукт на организациите. След като съумеят да обхванат в мрежата им, те стартират разбор на периметъра в търсене на повече евентуални жертви, след което получената информация се качва на сървър, следен от хакерите.
Специално внимание бива обърнато на антивирусните артикули, които се допуска, че пазят системата, което и изяснява доставянето на стратегии, като Process Hacker, IObit Uninstaller, PowerTool и PsExec. Дни или в някои случаи дори седмици след първичното навлизане в мрежата, те доставят и рансъмуера, който идва във тип на „ петцифрен код, идентифициращ жертвата “_pack.exe. Хакерите съумяват да открият и автостартираща услуга и съответния регистров ключ, осигуряващ рестартирането на системата в безвреден режим, когато и стартира самият развой по криптиране. Необичайният способ, определен от нарушителите – пускане на системата в безвреден режим, съгласно Sophos, предотвратява засичането на рансъмуера от продуктите за отбрана, множеството, от които са неактивни в сходни случаи.
„ SophosLabs усещат, че сериозността на риска, подложен от рансъмуер, който се започва в безвреден режим не може да се пренебрегне и че ние би трябвало да публикуваме тази информация като предизвестие за останалата част от защитната промишленост, както и към крайните консуматори “, изясняват от Sophos.
Източник: kaldata.com
КОМЕНТАРИ