В то время как мы знаем, кто является жертвами этих шифровальщиков, но до сих пор нет полной информации об использованных вредоносных программах. Исключениями являются шифровальщик RobbinHood, который использовался в Балтиморе (США) и был обнаружен несколько месяцев спустя, демонстрируя свой успех; или шифровальщик LockerGoga, из-за которого Norsk Hydro был вынужден отключить 22 000 своих компьютеров в 40 странах мира.
PureLocker – новый шифровальщик с необычной тактикой
Теперь мы увидели еще один вариант шифровальщика, который угрожает организациям по всему миру. PureLocker – это шифровальщик, который используется в направленных атаках против корпоративных серверов, и, похоже, что он имеет связи с известными кибер-преступными группировками.
Эта вредоносная программа, которая шифрует серверы своих жертв с целью получения от них выкупа, была проанализирована специалистами компаний Intezer и IBM X-Force. Они назвали ее PureLocker, потому что она написана на языке программирования PureBasic. Такой выбор языка необычен, но он предлагает злоумышленникам некоторые преимущества. Например, поставщики решений информационной безопасности испытывают определенные сложности при создании надежных сигнатур обнаружения для программ, написанных на этом языке. Кроме того, PureBasic легко «передается» между Windows, Linux и OX-X, что значительно облегчает атаки на различные платформы.
Серверы на линии огня
Ориентация на серверы жертв может быть обусловлена попыткой заполучить более внушительные суммы выкупа со своих жертв. Атаки на серверы часто приводят к выкупам в размере сотен тысяч евро. Это связано с тем, что организации, как правило, хранят на серверах свои самые важные данные, и, следовательно, они с большей вероятностью готовы будут заплатить большие суммы за восстановление своей критической информации.
Хотя у нас нет данных о том количестве жертв данного шифровальщика, о которых было заявлено, но исследователи в сфере информационной безопасности подтвердили, что речь идет действительно об очень активной кампании. Более того, похоже на то, что PureLocker предлагается в качестве сервиса. Считается, что такая услуга как «шифровальщик-как-сервис» («ransomware-as-a-service») предлагается исключительно для кибер-преступных организаций, которые могут себе позволить заплатить за нее достаточно высокую цену.
По словам Майкла Каджилоти, исследователя по безопасности в Intezer, «ransomware-as-a-service вероятен, но достаточно дорог и эксклюзивен из-за того, что существует достаточно мало лиц, которые используют данную вредоносную программу как сервис, и он обладает достаточно высоким уровнем сложности».
Эксклюзивный бэкдор
Исходный код PureLocker предлагает некоторые подсказки относительно его исключительности: например, он содержит строчки из вредоносного бэкдора «more_eggs», который продается «ветеранскими» поставщиками вредоносных программ. Некоторые из числа известных кибер-преступных группировок в настоящий момент используют такие инструменты как Cobalt Gang и FIN6, а PureLocker, кажется, имеет часть общего кода с теми кампаниями, которые ранее выполнялись этими группировками. Это указывает на то, что PureLocker был разработан для кибер-преступников, которые знают, что они делают и что они способны атаковать крупные компании.
Жертвы PureLocker получают уведомление о выкупе, в котором им предлагается написать письмо на определенный адрес электронной почты, чтобы договориться о платеже за расшифровку пострадавших файлов. Если жертва не сделает это в указанный период времени, то ключ расшифровки будет уничтожен.
Защитите себя от сложных атак
Исследователи по информационной безопасности, которые анализировали этот шифровальщик, все еще не уверены в том, как он попадает к своим жертвам. Впрочем, атаки more_eggs начинались с фишинговых писем. Сходство между этой вредоносной атакой и PureLocker предполагает, что этот новый шифровальщик распространяется таким же способом.
Учитывая, что никто точно не знает, как он попадает на серверы своих жертв, единственным способом защиты от PureLocker является использование подхода «нулевого доверия», чтобы гарантировать отсутствие «дверей», открытых для кибер-преступников. Любое письмо, которое может вызывать даже самые малейшие подозрения, должно быть перенаправлено в ИТ-отдел компании, при этом никогда не следует открывать вложения, которые приходят в письмах от неизвестных отправителей.
Еще одна мера, которая является обязательной для каждой компании, - это использование самых современных и передовых решений информационной безопасности с опциями расширенной защиты. Например, Panda Adaptive Defense непрерывно контролирует каждый запущенный процесс, который выполняется в системах пользователей. Если решение обнаруживает любой подозрительный или неизвестный процесс, оно блокирует его незамедлительно и останавливает его работу до тех пор, пока не будет уверено в том, что данный процесс является полностью надежным. Таким образом, вы будете защищены от любой угрозы вне зависимости от ее природы.
Более того, работа Panda Adaptive Defense не основана на сигнатурах. А это означает, что даже если образец вредоносной программы содержит механизмы, препятствующие созданию сигнатур обнаружения, как в случае с PureLocker, то наше решение информационной безопасности с опциями расширенной защиты способно обнаруживать и блокировать такую угрозу.
В настоящее время данная кампания с PureLocker очень активна. В силу различных обманных техник, которые используются в этой угрозе, она может представлять серьезную опасность для информации, хранящейся у огромного числа компаний и организаций по всему миру. Не будьте следующей жертвой PureLocker, и защитите свою компанию с помощью решения Panda Security.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.