ShadowRoot: новая вымогательская угроза обрушилась на турецкий бизнес

Исследовательская команда X-Labs, действующая под крылом компании ForcePoint, обнаружила и идентифицировала новый тип программ-вымогателей, нацеленных на турецкие предприятия.

Атака начинается с PDF-вложения, распространяемого через подозрительные электронные письма. Внутри PDF-файла содержится ссылка, которая загружает дальнейший исполняемый файл со скомпрометированного аккаунта на GitHub.

Загруженный файл является 32-битным бинарным файлом, скомпилированным с помощью Borland Delphi 4.0. После запуска он распаковывает и размещает дополнительные файлы в директории «C:\TheDream\», включая «RootDesign.exe», «Uninstall.exe» и «Uninstall.ini». Вторичный файл «RootDesign.exe» защищён с помощью .NET Confuser.Core версии 1.6.

Классы и функции файла защищены обфускацией, что позволяет обходить традиционные методы обнаружения вредоносного ПО. После распаковки вредоноса он запускает команду PowerShell для скрытого выполнения «RootDesign.exe».

Запущенный файл создаёт множество своих копий в памяти, что увеличивает потребление ресурсов системы. Он шифрует критические системные и офисные файлы, присваивая им расширение «.ShadowRoot». В корневом каталоге создаётся журнал «log.txt», в котором фиксируются все действия программы.

Зашифрованные файлы сопровождаются текстовым файлом «readme.txt», содержащим требования выкупа на турецком языке. В тексте не указаны данные криптокошелька, но жертвам предлагается связаться через указанный адрес электронной почты для дальнейших инструкций по оплате и дешифровке.

Вредоносное ПО нацелено на турецкие компании, особенно активно атакуя предприятия в секторах здравоохранения и онлайн-торговли. Для распространения хакеры используют фальшивые PDF-счета. Программа использует простые методы шифрования и имеет весьма базовый функционал, в связи с чем исследователи предположили, что она была создана малоопытными злоумышленниками.

Инцидент служит напоминанием, что даже простые и, казалось бы, непрофессиональные атаки могут нанести серьёзный ущерб, если организация не готова к ним. Регулярное обновление систем защиты, проведение тренингов по информационной безопасности и создание культуры осторожности при работе с электронной почтой и подозрительными вложениями могут значительно снизить риск успешных атак программ-вымогателей.