Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Зловред Lucky шифрует документы и базы данных, а также устанавливает на устройство майнер.
Новый вариант шифровальщика Satan, обнаруженный специалистами из NSFocus и Sangfor, атакует серверы под управлением Windows и Linux, используя уязвимости в Apache Struts 2, WebLogic, Tomcat и других платформах. Зловред распространяется как червь, и не только кодирует пользовательские файлы, но и устанавливает на инфицированную машину майнер. Исследователи отмечают высокий потенциал штамма, однако указывают на ошибки в криптоалгоритме, которые можно использовать для восстановления данных.
По словам аналитиков, вредоносный комплект состоит из нескольких модулей, один из которых отвечает за заражение целевой системы и загрузку остальных компонентов. Оказавшись на устройстве, скрипт связывается с командным сервером, а в случае нападения на Linux-сервер еще и прописывается в автозагрузке.
Дроппер получает из центра управления криптографический модуль, а также скрипт, сканирующий TCP-соединения зараженной машины в поиске открытых портов других устройств. Lucky шифрует пользовательские документы, таблицы и базы данных, оставляя в неприкосновенности системные объекты, отвечающие за работу ОС.
Как пояснили специалисты, зловред использует алгоритм AES в режиме Electronic Codebook (ECB) для поблочного кодирования каждого файла. Программа переименовывает зашифрованные объекты и добавляет к их названию расширение .lucky.
По мнению экспертов NSFocus, из-за неэффективной работы с памятью вредоносный скрипт не может окончательно удалить секретный ключ с диска после окончания работы. Этот баг в ряде случаев позволяет восстановить поврежденные данные, особенно на серверах под управлением Windows. В качестве второго объекта полезной нагрузки выступает майнер XMRig, доступный для скачивания на GitHub.
Параллельно с установкой майнера и шифрованием пользовательских данных Lucky атакует серверы, работающие под управлением Windows SMB, эксплуатируя брешь Eternal Blue, многократно описанную ИБ-специалистами и закрытую Microsoft еще в марте 2017 года. Для внедрения на другие серверы зловред использует ряд уязвимостей:
В некоторых случаях для взлома целевых систем Lucky применяет брутфорс-атаку, перебирая распространенные варианты логинов и паролей. По словам специалистов, индикатором атаки может служить сетевой трафик, четырем IP командных серверов, с которыми связывается вредоносная программа:
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |