Trickbot продал душу Дьяволу

Trickbot продал душу Дьяволу

Trickbot продал душу Дьяволу

В ходе разбора одной из недавних атак эксперты Fortinet обнаружили новую вымогательскую программу с именем Diavol. Анализ ее образцов выявил сходство по коду с Conti — хорошо известным шифровальщиком, для доставки которого зачастую используются боты Trickbot.

Новобранец был запущен в сеть клиента Fortinet вместе с новейшей (третьей) версией Conti, но с интервалом в один день и на разные Windows-машины. Как оказалось, интервенты используют одинаковые параметры командной строки для запуска поиска дисков и шифрования файлов. Однако Diavol отличает отсутствие проверок, предотвращающих шифрование на территории России, и признаков кражи данных для публикации в случае неуплаты выкупа.

Новоявленный зловред также не использует обфускацию — только прячет основные подпрограммы в растровых изображениях, которые эксперты обнаружили в ресурсах исполняемого файла (locker.exe).

Совокупно анализ Diavol выявил 14 различных процедур и функций, выполняемых в следующем порядке:

  • создание идентификатора жертвы;
  • инициализация (копирование вшитых в код параметров конфигурации);
  • регистрация на C2-сервере (расположен в Германии), обновление конфигурации;
  • принудительное завершение Windows-служб и процессов для максимального охвата файлов (Google Chrome, базы данных, веб-серверы, офисные и финансовые приложения, виртуальные машины);
  • инициализация ключа шифрования (публичный RSA);
  • поиск дисков для шифрования (локальные и сетевые общего пользования);
  • поиск файлов для шифрования;
  • удаление теневых копий Windows (чтобы воспрепятствовать восстановлению данных);
  • шифрование (с использованием стандартного WinCrypt API, к итогу добавляется расширение .lock64);
  • замена обоев рабочего стола.

О завершении работы Diavol свидетельствует черный экран, сообщающий жертве о случившемся и предлагающий ознакомиться с информацией в файле README-FOR-DECRYPT.txt. Эти файлы создаются во всех папках независимо от наличия зашифрованных файлов.

В тексте README приведены инструкции со ссылкой на сайт в сети Tor. Продолжая запугивать жертву, злоумышленники утверждают, что похитили данные из сети, и обещают опубликовать их, если не получат деньги. Поскольку признаков кражи аналитики не обнаружили, было решено, что это просто блеф — или задел под будущий функционал.

Для преобразования файлов Diavol использует ассиметричное шифрование — редкий случай для вымогательских программ. Их создатели обычно отдают предпочтение симметричным шифрам, которые работают гораздо быстрее.

Имя нового вредоноса исследователи обнаружили на onion-сайте, созданном злоумышленниками для контроля платежей. Оплата дешифратора принимается в биткойнах.

 

Каким образом Diavol и Conti попали в сеть жертвы, установить не удалось. Поскольку операторы Conti состоят в партнерских отношениях с ботоводами Trickbot, аналитики предположили, что «дьявольская» атака — тоже их инициатива.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Nova Specail Edition получила сертификат ФСТЭК России и 4 уровень доверия

Российский оркестратор контейнеров Nova Container Platform от компании Orion soft получил сертификат соответствия ФСТЭК России № 4943. Сертифицированная версия под названием Nova Container Platform Special Edition теперь обладает всей функциональностью базовой редакции, но при этом соответствует требованиям четвёртого уровня доверия.

Редакция предназначена для использования в системах, где требуется повышенный уровень информационной безопасности:

  • в автоматизированных системах управления технологическими процессами (АСУ ТП) до 1 класса защищённости;
  • в государственных информационных системах (ГИС) до 1 класса защищённости;
  • при работе с персональными данными до 1 уровня защищённости;
  • на значимых объектах критической информационной инфраструктуры (КИИ) до 1 категории значимости.

Речь идёт, в частности, о таких сферах, как нефтегаз, оборонная промышленность, металлургия, атомная энергетика, финансы и медицина.

Среди функций сертифицированной версии — сканирование контейнерных образов на наличие уязвимостей, контроль целостности, управление доступом, идентификация и аутентификация пользователей, сбор и регистрация событий безопасности, а также централизованное управление контейнерами.

Nova Container Platform поддерживает работу в изолированных средах, развёртывание на российских операционных системах и входит в реестр отечественного ПО. Платформа также интегрирована с другими продуктами Orion soft, включая систему виртуализации zVirt.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru