Шпионский софт FinFisher теперь использует UEFI-буткит в атаках на Windows

Шпионский софт FinFisher теперь использует UEFI-буткит в атаках на Windows

Шпионский софт FinFisher теперь использует UEFI-буткит в атаках на Windows

Шпионская программа FinFisher, за распространением которой стоит Gamma Group, обзавелась новыми функциональными возможностями. Теперь вредонос использует UEFI-буткит, который внедряется в загрузчик Windows Boot Manager.

FinFisher также известна под именами FinSpy и Wingbird. Зловред разрабатывается в коммерческих целях и является, по сути, шпионским софтом с вредоносными функциями.

Разработчики FinFisher не скрывают, что продают своё детище исключительно государственным учреждениям и правоохранительным органам по всему миру. Тем не менее специалисты в области кибербезопасности также фиксировали кампании целевого фишинга, в которых фигурировал FinFisher.

На новые возможности шпиона обратили внимание эксперты «Лаборатории Касперского». В своём отчёте исследователи пишут:

«В ходе анализа мы выявили UEFI-буткит, загружающий FinSpy. На всех заражённых машинах установщик Windows Boot Manager (bootmgfw.efi) был подменён вредоносной копией».

«Такой подход позволяет злоумышленникам установить буткит без необходимости обходить поверку безопасности прошивки. Заражения UEFI встречаются довольно редко, поскольку их трудно реализовать».

С новой функциональностью FinFisher фактически стал самым подвинутым шпионским софтом, который сложнее всего детектировать. Специалисты отмечают огромную работу, подделанную авторами вредоноса.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Шифровальщику Phobos объявили войну: арестованы четверо, сайт 8base закрыт

Тайские СМИ сообщили о четырех арестах по подозрению в проведении атак с использованием шифровальщика Phobos. Одновременно полиция Баварии заблокировала даркнет-сайт группировки 8base, которая тоже оперировала этим зловредом.

Таковы новые результаты международной операции Phobos Aetor, в которой принимают участие правоохранительные органы США, стран Западной Европы и Азии. По оценке американцев, от атак шифровальщика пострадали более 1000 организаций в разных регионах; суммарный ущерб достиг $16 миллионов.

Аресты в Таиланде произведены по просьбе властей Швейцарии и США. Местные СМИ пишут, что задержанные — европейцы; по данным Европола, они россияне, притом лидеры 8base.

Кроме сайта ОПГ, на котором теперь красуется баннер с сообщением о блокировке, правоохранителям удалось обезвредить 27 серверов, связанных с операциями Phobos.

 

Разработчиком шифровальщика предположительно является россиянин Евгений Птицын, который в конце прошлого года предстал перед судом после экстрадиции из Южной Кореи в США.

Вредонос, шифрующий файлы по AES, предоставляется в пользование как услуга (Ransomware-as-a-Service, RaaS), и 8base, видимо, оформила подписку. Созданный ею кастомный вариант Phobos после обработки добавляет к именам файлов расширение .8base или .eight.

Насколько известно, 8base объявилась в интернете в 2022 году. Злоумышленники используют тактику двойного шантажа (не только шифруют, но и воруют данные и грозят публикацией в случае неуплаты выкупа) и объявили себя специалистами по пентесту — как некогда вымогатели Cl0p, которые оправдывали свои атаки стремлением поставить мишеням на вид небрежное отношение к клиентским данным.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru