Шифровальщик LockBit все еще жив и обрел загрузчик, позволяющий обойти EDR

Шифровальщик LockBit все еще жив и обрел загрузчик, позволяющий обойти EDR

Шифровальщик LockBit все еще жив и обрел загрузчик, позволяющий обойти EDR

Проведенный в Flashpoint анализ LockBit 5.0 подтвердил, что новая версия зловреда построена на базе v4.0. Шифровальщик также стал еще более скрытным из-за использования кастомного загрузчика и обрел деструктивные функции.

С выпуском LockBit 5.0 его развертывание стало осуществляться в два этапа: вначале загружается самостоятельный лоадер, обеспечивающий обход EDR, а затем — основной пейлоад, не утративший прежних функций.

Шифровальщик по-прежнему откатывает исполнение на машинах жителей стран СНГ, но стал обходить стороной также Филиппины. Записка с требованием выкупа (ReadMeForDecrypt.txt) содержит привычный текст, сохранилась даже опечатка в англоязычном слове «информация» — «inforTmation».

 

Для обхода EDR новый загрузчик LockBit использует технику process hollowing (для внедрения вредоноса в экземпляр defrag.exe), отвязку библиотек (повторно загружает с диска чистые NTDLL и Kernel32, перезаписывая в памяти хуки защитных решений), патчинг трассировки событий Windows, а также скрывает расширения файлов.

Изолированный от основного пейлоада зловред умеет распознавать вызовы API по хешам, перенаправлять поток исполнения на разрешенные вызовы API, динамически рассчитывать адреса перехода для обфускации потока управления.

Обновленный LockBit научился обрабатывать данные на локальных и сетевых дисках, в папках по выбору оператора, а также работать в многопоточном режиме с использованием XChaCha20.

Опциональные деструктивные функции позволяют зловреду шифровать файлы незаметно для жертвы — не меняя расширений и без вывода записки с требованием выкупа.

Результаты анализа показали, что грозный шифровальщик все еще актуален как угроза и даже продолжает развиваться — невзирая на попытки ликвидации инфраструктуры LockBit, взлом сайта RaaS (Ransomware-as-a-Service, вымогательский софт как услуга) и слив переписки в рамках LockBit-партнерки.

Зарплаты и пенсии не загонят в цифровой рубль, заявила Набиуллина

Глава Банка России Эльвира Набиуллина попыталась сбить градус паники вокруг цифрового рубля. По её словам, страшилки о том, что всех бюджетников и пенсионеров якобы переведут на новую форму денег принудительно, — это абсурд.

В разговоре с журналисткой Наилей Аскер-заде на полях Финансового конгресса ЦБ в Санкт-Петербурге Набиуллина признала, что вокруг цифрового рубля действительно много мифов. Но, по её словам, так бывает почти с любой новой финансовой технологией.

Глава ЦБ напомнила, что похожие опасения когда-то возникали вокруг карт «Мир» и Системы быстрых платежей. Сейчас, как отметила Набиуллина, люди уже активно пользуются этими инструментами и ценят их удобство.

Главный тезис регулятора — цифровой рубль не должен стать обязаловкой. Пользователь сможет сам выбрать, в какой форме получать деньги: наличными, на обычный банковский счёт или в цифровых рублях.

«У вас будет выбор пользоваться или не пользоваться цифровым рублём», — подчеркнула Набиуллина.

По её словам, у Банка России нет задачи просто насыпать побольше цифровых рублей в экономику ради красивой статистики. Новый инструмент должен применяться там, где он действительно будет востребован.

ЦБ видит потенциал цифрового рубля прежде всего в расчетах бизнеса и международных платежах. При этом регулятор хочет сделать инструмент понятным, удобным и выгодным как для граждан, так и для компаний.

RSS: Новости на портале Anti-Malware.ru