Злоумышленники обходят средства защиты с помощью модифицированных вымогателей

image

Теги: вымогатель, безопасность, кибератака

Эксперты обнаружили следы распространения вымогателей в испанских, польских, швейцарских и турецких организациях.

ИБ-исследователи из компании Cybereason при Кембриджском университете  обнаружили  вымогательскую кампанию, которую эксперты назвали Kofer. Злоумышленники модифицируют некоторые переменные таких вымогателей, как CryptoWall 3.0 и Crypt0L0cker для того, чтобы обойти защитные средства, использующие цифровую подпись и хэш.

ИБ-специалисты считают, что все модифицированные вымогатели созданы одними и теми же вирусописателями, которые используют специальный алгоритм для автоматического комбинирования разных компонентов, который каждый раз выдает совершенно новую вариацию.

Каждый вымогатель замаскирован под PDF-документ, который использует фальшивую иконку и файловое имя, для того, чтобы жертва не заподозрила подвоха. Из средств самозащиты модифицированные вредоносы используют шифрование полезной нагрузки, механизмы обхода песочниц и средств динамического детектирования, а также удаляет оригинальный исполняемый код после его выполнения.

Эксперты обнаружили следы распространения вымогателей в испанских, польских, швейцарских и турецких организациях. Полные масштабы данной вымогательской кампании оценить пока не удалось. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.