Кто-то спиратил шифровальщик REvil и атакует Windows-компьютеры

Кто-то спиратил шифровальщик REvil и атакует Windows-компьютеры

Неизвестные киберпреступники пиратят хорошо известную программу-вымогатель REvil, модифицируя файлы вредоноса под свои нужды. Специалисты компании Secureworks дали имя новому шифровальщику — LV.

В отчёте исследователей утверждается, что модифицированный зловред атакует компьютеры, работающие на операционной системе Windows, при этом у бинарников вымогателя есть много общего с REvil.

Эксперты считают, что за созданием и распространением LV стоит отдельная киберпреступная группировка, которую озаглавили Gold Northfield (по аналогии с Gold Southfield, которая распространяла REvil ранее). Первые реальные кибератаки этих злоумышленников датируются октябрём 2020 года, утверждают эксперты.

Атакующие разворачивают слегка изменённый файл конфигурации REvil, из которого просто удалили упоминание командного сервера (C2), принадлежащего изначальным авторам REvil. Также находчивые злоумышленники изменили принцип извлечения и передачи похищенных вредоносом данных.

Команда Secureworks считает, что создатели REvil либо в какой-то момент продали исходный код программы-вымогателя, либо его просто украли. Есть и третий вариант: Gold Southfield в рамках партнёрских отношений поделилась кодом с другой группировкой.

Помимо этого, эксперты полагают, что для модификации вредоносной программы злоумышленники использовали hex-редактор. В атаках LV используется система оплаты выкупа, основанная на Tor, хотя раньше REvil отличался хорошо продуманной бэкенд-системой.

Новый вариант шифровальщика не был замечен на форумах хакерской тематики, то есть его, скорее всего, не распространяют по схеме «вымогатель как услуга» (ransomware-as-a-service, RaaS).

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Kaspersky фиксирует рост числа целевых атак во втором квартале 2021 года

Специалисты «Лаборатории Касперского» сообщили об увеличении числа целевых атак (APT), в которых используются серверы Microsoft Exchange. Такая тенденция, по словам исследователей, наблюдалась во втором квартале 2021 года.

Эксплойты для дыр в Microsoft Exchange использует неизвестная киберпреступная группировка, участники которой говорят, скорее всего, на китайском языке. «Лаборатория Касперского» называет эту шпионскую операцию GhostEmperor.

Злоумышленники выбрали себе в качестве целей государственные учреждения, телекоммуникационные компании и другие крупные организации, находящиеся в Юго-Восточной Азии.

В арсенале группы есть множество инструментов для сложных таргетированных кибератак. Эксперты «Лаборатории Касперского» считают, что группировка действует как минимум год — с июля 2020 года.

GhostEmperor отличается тем, что злоумышленники используют новый руткит, запускающийся и работающий с высокими правами в системе. Как отметили специалисты, руткит обходит проверку подписи драйверов Windows Driver Signature Enforcement с помощью схемы загрузки с софтом Cheat Engine.

Как можно понять из названия, Cheat Engine — программа с открытым исходным кодом, анализирующая игры и создающая чит-коды.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru