SOS :: Security Operation Space
21 ноября, среда, 00:00
|
Hot News:

Криптор под авторством NTCrypt запутает код GandCrab

15 октября 2018 г., понедельник, 11:26

Специалисты считают, что дополнительная обфускация затруднит обнаружение вымогателя антивирусными программами.

Киберпреступники, стоящие за вымогателем GandCrab, заключили партнерское соглашение с криптографическим сервисом NTCrypt и предлагают покупателям услуги по шифрованию кода зловреда. Об этом стало известно из анонсов на криминальных форумах в дарквебе. Подобное сотрудничество может поднять обфускацию текста программы на новый уровень и затруднить ее обнаружение антивирусными приложениями.

Злоумышленники объявили конкурс на лучший криптор для GandCrab 20 сентября этого года, а уже через неделю NTCrypt объявили о специальных ценах на свои услуги для подписчиков шифровальщика.

Клиенты зловреда, распространяемого по модели RaaS (вымогатель-как-услуга), могут воспользоваться разовой обфускацией кода за $150 или купить недельную подписку за $350. Для остальных покупателей сервис предлагает только месячные тарифы по цене от $800.

Специалисты McAfee, наблюдающие за развитием ситуации, подчеркивают, что речь идет не о встраивании в вымогатель механизмов шифрования кода, а лишь о такой возможности для злоумышленников. По сути, это лишь маркетинговое предложение, поскольку покупатели зловреда способны выбрать и другой криптор. Эксперты отмечают, что подобное сотрудничество указывает на популярность GandCrab в среде киберпреступников и не исключают появления новых альянсов в будущем.

Это мнение подтверждает включение вымогателя в состав эксплойт-кита Fallout, о поддержке которого создатели GandCrab объявили отдельно. Специалисты отмечают, что стоящая за вредоносной программой группа злоумышленников обладает не только навыками программирования, но и знаниями в области маркетинга и продвижения ПО.

Объявление о сотрудничестве GandCrab и NTCrypt совпало с выходом пятой версии вымогателя. Изначально новая сборка вредоносной программы содержала серьезную ошибку, не позволявшую ей кодировать файлы на компьютерах под управлением Windows XP. В релизе5.0.2 злоумышленники исправили баг, а также добавили два новых эксплойта, направленных на повышение привилегий в атакуемой системе.

Последняя версия зловреда способна проникать на целевое устройство при помощи PowerShell-скрипта. Таким образом, количество возможных вариантов атаки GandCrab увеличилось до шести. По информации экспертов, программа также может быть доставлена через:

  • трояны;
  • эксплойт-киты;
  • ботнет;
  • спам-рассылку;
  • инструменты удаленного доступа.

В новой версии авторы GandCrab размещают требования о выкупе в виде обоев рабочего стола Windows. Графический файл с персонализированным сообщением создается после завершения шифрования данных. Кроме того, в новом релизе увеличена длина расширения закодированных объектов — с пяти до десяти случайных символов.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
06:15
05:54
16:15
15:48
15:16
14:02
13:42
13:15
11:15
10:15
09:15
09:15
08:15
08:15
07:15
07:15
06:15
06:15


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.299
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.