Новый вариант программы-вайпера KillDisk атакует Латинскую Америку

Новый вариант программы-вайпера KillDisk атакует Латинскую Америку

Новый вариант программы-вайпера KillDisk атакует Латинскую Америку

Новая версия вредоносной программы-вайпера (wiper) KillDisk, удаляющего данные на диске, атаковала финансовый центр Латинской Америки. Об этом сообщают эксперты антивирусной компании Trend Micro.

Как и предыдущие версии, новый KillDisk намеренно удалял файлы, но при этом пытался обмануть пользователей, требуя выкуп, убеждая жертву в том, что она заражена вымогателем.

Среди специалистов в области кибербезопасности KillDisk давно имеет плохую репутацию — эта вредоносная программа была разработана и используется в основном российской кибершпионской группой, известной как Telebots.

Первоначально KillDisk использовалась на последних этапах крупных вредоносных кампаний для сокрытия следов, позволяя киберпреступникам удалять все компрометирующие файлы, которые впоследствии могли бы выступать в роли доказательства в суде, с диска.

Новая версия, о которой сообщили эксперты Trend Micro, имеет минимальные отличия от предыдущих — также присутствуют требования выкупа и функция удаления всех данных с диска. Но на этот раз атакуются латиноамериканские финансовые фирмы, а не украинские объекты, как в случае с предыдущим версиями.

Trend Micro пока не сообщила, кто стоит за этими атаками новой версии KillDisk, но отметила, что будь-то TeleBots, либо же их подражатели, они также используют KillDisk для сокрытия своих следов, а не в качестве основной вредоносной программы.

«Эта версия KillDisk, похоже, сознательно загружается на компьютер другим процессом. Ее путь к файлу жестко закодирован (c:\windows\dimens.exe), а это значит, что она тесно связана со своим установщиком или является частью более крупного пакета», — говорят исследователи.

Эксперты отмечают, что последовательность действий вайпера приблизительно следующая: устанавливается в системе, загружается в память, удаляет файлы с диска, переименовывает себя.

Затем вредонос перезапишет нулями первые 20 секторов главной загрузочной записи (MBR) каждого запоминающего устройства. После этого он перезапишет первые 2800 байт каждого файла теми же нулями на каждом съемном накопителе.

Единственными папками, файлы в которых KillDisk не трогает, являются следующие директории:

  • WINNT
  • Users
  • Windows
  • Program Files
  • Program Files (x86)
  • ProgramData
  • Recovery (case-sensitive check)
  • $Recycle.Bin
  • System Volume Information
  • old
  • PerfLogs

Далее вредонос запускает 15-минутный таймер, по прошествии которого завершает следующие процессы (поскольку они являются критическими системными процессами, ОС либо перезагрузится, либо упадет в BSOD):

  • Client/server run-time subsystem (csrss.exe)
  • Windows Start-Up Application (wininit.exe)
  • Windows Logon Application (winlogon.exe)
  • Local Security Authority Subsystem Service (lsass.exe)

После перезагрузки жертва больше не сможет использовать свой компьютер.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Участники CyberCamp рассказали, как киберучения помогли им в реальной жизни

С 20 по 25 октября пройдёт четвёртый по счёту онлайн-кэмп CyberCamp — одно из крупнейших практических событий в сфере кибербезопасности. В этом году основная тема — киберустойчивость: участники будут учиться не только защищать инфраструктуру, но и быстро восстанавливать работу систем после атак.

За шесть дней кэмпа более тысячи специалистов из сотен ИБ-команд будут разбирать реальные сценарии кибератак и способов реагирования на них.

В программе — десятки докладов, практические задания, командные учения и круглые столы. Спикерами выступят эксперты из ведущих российских компаний — от разработчиков решений в области ИБ до представителей крупных ИТ-структур.

Организаторы отмечают, что особенность CyberCamp — приближённость заданий к реальной практике. Участники работают в условиях, близких к тем, что бывают при настоящих инцидентах: анализируют подозрительный трафик, ищут точки проникновения, устраняют последствия атак и восстанавливают системы.

«Сценарии моделировали атаки на веб-приложения, проникновение во внутреннюю сеть, расследование инцидента, реагирование и восстановление. Всё это максимально похоже на реальные ситуации, когда нужно действовать быстро и без полной информации», — вспоминает Артём Серов, участник корпоративной лиги CyberCamp от компании Nordgold.

Для многих участников участие в кэмпе становится не только профессиональным, но и личным испытанием.

«Я участвовал ради азарта — поработать в условиях ограниченного времени и высокой концентрации. Это отличный способ встряхнуться, выйти из рутины и проверить себя», — рассказывает Максим Митрохин из Т1-Иннотех.

При этом CyberCamp остаётся открытым и для новичков. Здесь можно получить базовые практические навыки, познакомиться с инструментами и попробовать себя в роли аналитика по безопасности.

«На CyberCamp я впервые поработал с Wireshark, и потом эти знания пригодились на работе. Задания были максимально приближены к реальности: нужно было понять, как произошёл взлом и какие данные утекли. Главное — не бояться пробовать новое», — говорит студент МИФИ Данил Антипов.

Похожий опыт у студента ВШЭ Артёма Глазыринa:

«Кэмп дал мне навыки анализа логов и работы с SIEM-системами. Эти знания я потом использовал на стажировке. Но главное даже не победа, а опыт и атмосфера — они реально помогают в развитии карьеры».

CyberCamp воспринимается участниками не просто как соревнование, а как площадка, где можно проверить свои знания, получить обратную связь и обменяться опытом с профессионалами.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru