Trend Micro: Обнаружен новый вариант вымогателя Cerber

Trend Micro: Обнаружен новый вариант вымогателя Cerber

Trend Micro: Обнаружен новый вариант вымогателя Cerber

Trend Micro предупреждает о появлении нового варианта вымогателя Cerber, который распространяется, используя многочисленные векторы атак, и имеет переработанную систему шифрования файлов.

Злоумышленники используют различные методы, пытаясь увеличить скорость распространения зловреда, в их число входят электронная почта, наборы эксплоитов и недавно обнаруженные уязвимости (например, в Apache Struts 2). Сама вредоносная программа получила множество улучшений, в том числе возможность обойти защиту с возможностью обучения.

Как полагают эксперты, Cerber генерирует миллионы долларов ежегодного дохода для разработчиков. Благодаря этому, злоумышленникам удается постоянно улучшать свое творение, оснащая его все новыми функциями. Например, новая версия получила дополнительные механизмы защиты от песочниц.

Новый вариант вредоноса распространяется через спам-письма с заархивированным вложением с вредоносным файлом JavaScript (JS) внутри. После анализа нескольких JS-файлов Trend Micro обнаружила, что они выполняют свою вредоносную функцию в три этапа: непосредственно загружают вредоносную нагрузку, создают запланированную задачу для запуска зловреда через две минуты и запускают встроенный сценарий PowerShell.

Использование отложенного выполнения позволяет вымогателю избежать традиционных программ-песочниц, которые имеют механизмы тайм-аутов или ждут окончательного запуска вредоносной программы. Использование PowerShell в этой схеме довольно предсказуемо, учитывая популярность этой техники в последние месяцы.

«Мы уже давно наблюдали, как Cerber переходил к более незаметной тактике заражения. В феврале этого года некоторые варианты этого зловреда начали проверять, установлены ли в зараженной системе какие-либо брандмауэры, антивирусные и антишпионские продукты» - говорят исследователи безопасности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Рекордную DDoS-атаку в 11,5 Тбит/с провели с ботнета из 300 тыс. роутеров

Специалисты QiAnXin XLab уже год отслеживают DDoS-атаки с участием AISURU и уверены, что рекордный по мощности флуд, зафиксированный в прошлом месяце Cloudflare, был сгенерирован именно этим ботнетом.

Китайским экспертам удалось выявить трех операторов вредоносной сети. Один из них, с ником Snow, отвечает за разработку DDoS-бота, некто Tom — за поиск уязвимостей для распространения инфекции, Forky — за сдачу ботнета в аренду.

В апреле этого года Tom взломал сервер, с которого Totolink раздает обновления прошивки для своих роутеров, и внедрил вредоносный скрипт (t.sh), выполняющий перенаправление на загрузку AISURU.

В результате численность ботнета за короткий срок перевалила за 100 тысяч. В настоящее время, по оценке исследователей, в его состав входят около 300 тыс. зараженных устройств, способных дружными усилиями создать DDoS-флуд мощностью до 11,5 Тбит/с.

Для распространения AISURU в основном используются уязвимости N-day в роутерах D-Link, Linksys, Zyxel, SDK Realtek, а также в IP-камерах. Конкуренции зловред не терпит: так, он в какой-то момент угнал все видеорегистраторы nvms9000 у RapperBot.

Особой избирательности в выборе целей для DDoS-атак не замечено. Их число может доходить до нескольких сотен в сутки.

 

География мишеней — в основном Китай, США, Германия, Великобритания и Гонконг.

 

В новейших образцах AISURU реализована также прокси-функциональность. С этой целью им придан опциональный модуль для проверки скорости интернета по Speedtest.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru