Новая версия SamSam не запустится, пока не будет введен пароль

Олег Иванов 21 Июня 2018 - 13:01

...

Новая версия SamSam не запустится, пока не будет введен пароль

Последние версии вымогателя SamSam обзавелись новой функцией защиты от анализа антивирусными специалистами. Зловред не запустится до тех пор, пока пытающееся запустить его лицо не введет специальный пароль через командную строку.

Этот новый механизм был внедрен командой, занимающейся разработкой SamSam. В предыдущих версиях он отсутствовал, так что каждый мог запустить файл вымогателя на исполнение.

Напомним, что киберпреступники используют SamSam лишь в редких случаях, обычно после взлома частных сетей крупных компаний или государственных учреждений. Этот вымогатель нельзя встретить в прикрепленных к электронным письмам вложениях.

Новая защитная функция не позволит исследователям в области безопасности запустить файл вредоноса. Другими словами, эксперты не смогут проанализировать SamSam, собрав данные о его последней версии.

Специалисты считают, что новые защитные возможности были добавлены в этом месяце, так как предыдущие отчеты исследователей не упоминали наличия парольной защиты от запуска.

«Пароль устанавливается во врем компиляции, это значит, что у каждой кампании может быть сой пароль», — объясняет Алан Лиска из Recorded Future. — «Насколько нам известно, группа, разрабатывающая SamSam, не спонсируется государством. Однако эти новые методы антианализа очень схожи с тем, что делают государственные киберпреступники».

В прошлом году мы сообщали, что вымогатель SamSam повысил сумму выкупа до 33 000 долларов. Если этому зловреду удалось заразить одну машину в сети, он непременно будет пытаться также скомпрометировать и другие. Авторы SamSam используют протокол удаленного рабочего стола (RDP), веб-оболочки и пакетные скрипты для компрометации сетей.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Вероника Дубровская 22 Мая 2024 - 12:09

Уязвимости программ Корпорации

Уязвимость в GitHub Enterprise Server позволяет обойти аутентификацию

В GitHub Enterprise Server (GHES) была обнаружена критическая уязвимость (CVE-2024-4985), которая позволяла злоумышленнику получить несанкционированный доступ с правами администратора без предварительной аутентификации.

Преступнику не требовалось наличие учётной записи для совершения атаки. Уязвимости был присвоен наивысший уровень опасности (10 из 10).

GHES — это платформа, которая позволяет локально развернуть на серверах компании обособленное окружение для совместной разработки программного обеспечения в организации на основе технологий GitHub.

Уязвимость затрагивает все версии GHES до 3.13.0 и была устранена в версиях 3.9.15, 3.10.12, 3.11.10 и 3.12.4.

В сообщении компании говорится, что атака осуществлялась через подделку ответа SAML в экземплярах, использующих аутентификацию SAML по единому входу (SSO) с дополнительной функцией зашифрованных утверждений.

GitHub также отметил, что зашифрованные утверждения не включены по умолчанию. Баг не влияет на экземпляры, которые не используют единую авторизацию SAML (SSO), и на те, что используют аутентификацию SAML SSO без зашифрованных утверждений.

Зашифрованные утверждения позволяют администраторам сайтов повысить безопасность экземпляра GHES с помощью SAML SSO, зашифровав сообщения, которые поставщик идентификационных данных SAML (IdP) отправляет в процессе аутентификации.

Специалисты рекомендуют организациям обновиться до последней версии, чтобы защитить себя от потенциальных угроз безопасности.