В интернете зафиксирована новая версия сетевого червя Storm

В интернете зафиксирована новая версия сетевого червя Storm

В интернете зафиксирована новая версия сетевого червя Storm. Новинка представляет собой кардинально пересмотренный вариант разработки, которая бушевала в сети три года назад, говорят в Shadowserver Foundation. Первая версия червя Storm появилась в самом начале 2007 года и довольно быстро распространилась, став самой массовой атакой сетевых червей в истории. При попадании на компьютер пользователя, сетевой червь с очень высокой скоростью начинал рассылать спам, загружая пользовательский интернет-канал.



Стивен Адаир, специалист по мониторингу бот-сетей Shadowserver, говорит, что самые первые образцы обновленного сетевого червя были зафиксированы еще 13 апреля, с тех пор масштабы распространения возросли, хотя до эпидемии они пока не дотягивают. Адаир отмечает, что программисты из Honeypot Project провели реверс-инжениринг двоичного варианта Storm и приблизительно исследовали исходники нового варианта.

Согласно их данным, новый Storm представляет собой старую базу с массой новых элементов. Некоторые из элементов пока не до конца изучены и специалисты затрудняются полностью судить о функционале Storm. Тем не менее, уже сейчас эксперты с уверенностью утверждают, что Storm для коммуникаций использует исключительно HTTP-трафик. Доступный вариант червя был создан таким образом, что он получал управляющие команды всего с одного IP-адреса, расположенного в Нидерландах.

"Мы уже связались с соответствующим провайдером", - сообщили в Shadowserver.

Адаир предполагает, что ввиду ограниченных коммуникационных возможностей новый Storm пока существует сравнительно недолго, а его авторы, скорее всего, не рассчитывали на переезд командного сервера на другие площадки.

Зараженные новым червем компьютеры начинают действовать по программе Drive-by. Распространение Storm пока идет с относительно небольшого числа веб-сайтов, говорят эксперты.

Источник

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

HybridPetya: наследник Petya научился обходить защиту UEFI Secure Boot

Исследователи из ESET рассказали о новом вымогателе, получившем имя HybridPetya. Этот зловред напоминает печально известные Petya и NotPetya, но с важным отличием: он умеет обходить механизм безопасной загрузки в UEFI-системах, используя уязвимость, закрытую Microsoft в январе 2025 года.

По словам экспертов, первые образцы HybridPetya были загружены на VirusTotal в феврале.

Принцип работы знаком (встречался у Petya): программа шифрует главную таблицу файлов — ключевую структуру NTFS-разделов, где хранится информация обо всех файлах. Но теперь к этому добавился новый трюк — установка вредоносного EFI-приложения прямо в EFI System Partition.

 

У HybridPetya два основных компонента: инсталлятор и буткит. Именно буткит отвечает за шифрование и вывод «поддельного» окна CHKDSK, будто система проверяет диск на ошибки.

 

На самом деле в этот момент шифруются данные. Если диск уже зашифрован, жертве показывается записка с требованием заплатить $1000 в биткойнах. В кошельке злоумышленников на данный момент пусто, хотя с февраля по май туда пришло около $183.

 

Интересно, что в отличие от разрушительного NotPetya, новый вариант всё же предполагает расшифровку: после оплаты жертва получает ключ, и буткит запускает обратный процесс, восстанавливая оригинальные загрузчики Windows.

Некоторые версии HybridPetya используют уязвимость CVE-2024-7344 в UEFI-приложении Howyar Reloader. С её помощью можно обойти Secure Boot — защитный механизм, который должен предотвращать запуск неподписанных загрузчиков. Microsoft уже отозвала уязвимый бинарный файл в январском обновлении.

ESET подчёркивает: пока признаков активного распространения HybridPetya нет, возможно, это только семпл. Но сам факт появления таких образцов показывает, что атаки на UEFI и обход Secure Boot становятся всё более реальными и привлекательными — и для исследователей, и для киберпреступников.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru