Шифровальщика Anubis научили уничтожать данные в назидание неплательщикам

Шифровальщика Anubis научили уничтожать данные в назидание неплательщикам

Шифровальщика Anubis научили уничтожать данные в назидание неплательщикам

Создатели шифровальщика Anubis добавили Windows-зловреду функции вайпера. Режим стирания содержимого файлов включается по воле оператора, который решил наказать жертву за затягивание переговоров о выкупе или за упорный отказ платить.

Новый аргумент командной строки, /WIPEMODE, обнаружили в Trend Micro при разборе новейших образцов вредоноса. По словам аналитиков, данные удаляются начисто, без возможности восстановления даже с помощью специальных утилит.

Выпотрошенные файлы при этом остаются в папках под своими именами, однако их размер обнуляется, так как они пусты.

 

Эксперты впервые столкнулись с Anubis в декабре прошлого года — на тот момент шифровальщик именовался Sphinx и находился в стадии разработки. В январе новая кибергруппа стала активно публиковаться на подпольных форумах (на русском языке), а в феврале запустила партнерские программы.

Кроме доступа к шифровальщику, владельцы криминального сервиса, выстроенного по модели RaaS (Ransomware-as-a-Service, вымогатель как услуга), предлагают клиентам ведение переговоров с жертвами шифрования и кражи данных, а также обеспечение первичного доступа к целевым сетям.

Атаки с использованием Anubis обычно начинаются с рассылки адресных писем с вредоносной ссылкой или вложением.

После запуска шифровальщик проверяет права текущего пользователя. Если жертва вошла как админ, он пытается повысить привилегии до SYSTEM; когда прав недостаточно, запуск основных функций зловреда возможен лишь с одобрения оператора.

Перед шифрованием вредонос удаляет теневые копии Windows, чтобы жертва не смогла самостоятельно вернуть данные, а также завершает процессы и останавливает либо отключает службы, способные помешать его работе.

Шифратор Anubis написан на Golang и использует редкий алгоритм ECIES (на эллиптических кривых). Иконки зашифрованных файлов подменяются «фирменным» логотипом зловреда, к имени добавляется расширение .anubis.

По завершении шифрования должны также изменяться обои рабочего стола, но эта функция пока работает некорректно. В оставляемой на зараженной машине записке с требованием выкупа (RESTORE FILES.html) озвучена угроза публикации украденных данных.

 

По состоянию на 16 июня новейшую версию зловреда (со встроенным вайпером) детектируют 44 из 72 антивирусов из коллекции VirusTotal. На сайте утечек Anubis пока числятся семь жертв — медучреждения, поставщики инжиниринговых услуг, строительные компании из Австралии, Канады, Перу и США.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники усиливают атаки на российских автомобилистов

Мошенники всё чаще нацеливаются на российских автомобилистов, стремясь похитить их деньги и персональные данные. Для этого злоумышленники используют различные фишинговые схемы, спекулируя на темах страховок, штрафов за нарушение ПДД и оплаты проезда по платным дорогам.

Как рассказала в беседе с «Известиями» инженер-аналитик компании «Газинформсервис» Екатерина Едемская, интерес аферистов к автовладельцам обусловлен несколькими факторами:

  • Многие водители привыкли пользоваться цифровыми сервисами, и их легко ввести в заблуждение, создав поддельный интерфейс, похожий на официальный;
  • Автомобилисты доверяют электронным письмам и СМС от государственных структур, что повышает их уязвимость к фишингу и атакам социальной инженерии.

Кроме того, современные автомобили хранят конфиденциальную информацию — от истории поездок до платёжных данных в мультимедийных системах, что представляет дополнительный интерес для киберпреступников.

Ещё один фактор — платёжеспособность водителей. Даже владельцы бюджетных машин, как отметил начальник отдела информационной безопасности компании «Код Безопасности» Алексей Коробченко, тратят значительные суммы на техосмотры и расходные материалы.

По словам Екатерины Едемской, одной из самых старых и распространённых схем остаются фальшивые штрафы. Такие сообщения содержат ссылки на фишинговые сайты, имитирующие официальные порталы. Распространены и поддельные сайты по продаже автомобилей, где жертв заманивают несуществующими машинами по заниженной цене и требуют предоплату за «бронь» или «доставку».

Относительно недавно появилась схема распространения вредоносных программ под видом программ для диагностики авто или проверки техосмотра. Чаще всего таким образом устанавливаются трояны, ворующие платёжные данные.

Старший контент-аналитик «Лаборатории Касперского» Ольга Алтухова рассказала о другой сравнительно новой схеме: рассылке по электронной почте или СМС фальшивых уведомлений о необходимости оплатить проезд по платной дороге. Целью является не только хищение денег, но и сбор данных (номер автомобиля, телефон, адрес электронной почты) для дальнейших атак.

Алексей Коробченко также предупредил о фейковых интернет-магазинах автозапчастей. Мошенники привлекают клиентов низкими ценами и широким ассортиментом, получают оплату и исчезают, не отправив товар.

По оценке экспертов, новым направлением атак становится использование искусственного интеллекта. Екатерина Едемская прогнозирует, что вскоре возможны звонки якобы от инспекторов ГАИ или представителей страховых компаний с полным визуальным и голосовым воспроизведением реальных людей.

Также, по её мнению, в будущем могут появиться вредоносы, заражающие не компьютеры или смартфоны, а интеллектуальные системы автомобилей. Захватив управление, злоумышленники смогут шантажировать автовладельцев, требуя деньги за восстановление работоспособности систем.

Алексей Коробченко считает перспективным для преступников использование дипфейков для атак под видом страховых компаний. Можно будет имитировать офис страховщика, повышая убедительность схем. Также, по его мнению, злоумышленники станут чаще распространять вредоносы, якобы предназначенные для упрощения взаимодействия со страховщиками.

Эксперт по социотехническому тестированию Angara Security Яков Филевский назвал главным средством профилактики соблюдение правил кибергигиены: регулярно обновлять приложения и операционные системы, включать двухфакторную аутентификацию, а также создавать сложные и уникальные пароли для каждого сервиса.

Кроме того, не следует переходить по ссылкам из писем и сообщений, а задолженности лучше проверять через портал Госуслуг или сайт ГАИ. Особую осторожность нужно проявлять при сканировании QR-кодов, убедившись, что поверх оригинального кода не наклеен другой стикер.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru