Криптор под авторством NTCrypt запутает код GandCrab

Специалисты считают, что дополнительная обфускация затруднит обнаружение вымогателя антивирусными программами.

Киберпреступники, стоящие за вымогателем GandCrab, заключили партнерское соглашение с криптографическим сервисом NTCrypt и предлагают покупателям услуги по шифрованию кода зловреда. Об этом стало известно из анонсов на криминальных форумах в дарквебе. Подобное сотрудничество может поднять обфускацию текста программы на новый уровень и затруднить ее обнаружение антивирусными приложениями.

Злоумышленники объявили конкурс на лучший криптор для GandCrab 20 сентября этого года, а уже через неделю NTCrypt объявили о специальных ценах на свои услуги для подписчиков шифровальщика.

Клиенты зловреда, распространяемого по модели RaaS (вымогатель-как-услуга), могут воспользоваться разовой обфускацией кода за $150 или купить недельную подписку за $350. Для остальных покупателей сервис предлагает только месячные тарифы по цене от $800.

Специалисты McAfee, наблюдающие за развитием ситуации, подчеркивают, что речь идет не о встраивании в вымогатель механизмов шифрования кода, а лишь о такой возможности для злоумышленников. По сути, это лишь маркетинговое предложение, поскольку покупатели зловреда способны выбрать и другой криптор. Эксперты отмечают, что подобное сотрудничество указывает на популярность GandCrab в среде киберпреступников и не исключают появления новых альянсов в будущем.

Это мнение подтверждает включение вымогателя в состав эксплойт-кита Fallout, о поддержке которого создатели GandCrab объявили отдельно. Специалисты отмечают, что стоящая за вредоносной программой группа злоумышленников обладает не только навыками программирования, но и знаниями в области маркетинга и продвижения ПО.

Объявление о сотрудничестве GandCrab и NTCrypt совпало с выходом пятой версии вымогателя. Изначально новая сборка вредоносной программы содержала серьезную ошибку, не позволявшую ей кодировать файлы на компьютерах под управлением Windows XP. В релизе5.0.2 злоумышленники исправили баг, а также добавили два новых эксплойта, направленных на повышение привилегий в атакуемой системе.

Последняя версия зловреда способна проникать на целевое устройство при помощи PowerShell-скрипта. Таким образом, количество возможных вариантов атаки GandCrab увеличилось до шести. По информации экспертов, программа также может быть доставлена через:

• трояны;
• эксплойт-киты;
• ботнет;
• спам-рассылку;
• инструменты удаленного доступа.

В новой версии авторы GandCrab размещают требования о выкупе в виде обоев рабочего стола Windows. Графический файл с персонализированным сообщением создается после завершения шифрования данных. Кроме того, в новом релизе увеличена длина расширения закодированных объектов — с пяти до десяти случайных символов.

Ваш голос учтён!

нравится

не нравится

Рейтинг:

0

Всего голосов: 0

Новые материалы в Разное:

RuStore открыл доступ иностранным разработчикам   // 08 февраля

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs   // 08 февраля

Google обещает блюрить непристойные и жестокие картинки поиска   // 08 февраля

Бизнес предлагает продавать алкоголь по 2FA   // 08 февраля