У этого Марио плохая карма. Киберпреступники превратили любимого героя детства в кошмар для пользователей

leer en español

RansomHouse Mario Unit 42 Palo Alto Networks вымогатели шифратор кибератака
У этого Марио плохая карма. Киберпреступники превратили любимого героя детства в кошмар для пользователей
RansomHouse Mario Unit 42 Palo Alto Networks вымогатели шифратор кибератака

Вымогатель Mario от RansomHouse не прыгает по трубам — он шифрует ваши файлы.

image

Группировка, стоящая за одним из наиболее известных сервисов по распространению программ-вымогателей RansomHouse, усилила техническую сторону своих атак. По данным специалистов, в арсенале киберпреступников появился обновлённый инструмент шифрования, который отличается более сложной архитектурой и расширенным функционалом. Изменения коснулись как самого алгоритма обработки файлов, так и методов, затрудняющих их последующий анализ.

RansomHouse действует с конца 2021 года, начав с утечек данных, а затем перешёл к активному использованию шифраторов в атаках. Сервис активно развивался, включая появление утилиты MrAgent для массовой блокировки гипервизоров VMware ESXi. Одним из последних известных эпизодов стало применение различных вариантов вымогательского ПО против японской компании Askul, специализирующейся на электронной коммерции.

Недавний отчёт команды Unit 42 компании Palo Alto Networks описывает новый вариант шифратора под названием «Mario». В отличие от предыдущей версии, использовавшей одноэтапную обработку, обновлённая модификация применяет двухфазный подход с использованием двух ключей — основного длиной 32 байта и вспомогательного в 8 байт. Это значительно повышает стойкость шифрования и усложняет попытки восстановления данных.

Дополнительную защиту обеспечивает переработанный механизм обработки файлов. Вместо линейной схемы применяется динамическое разбиение на блоки при пороге в 8 ГБ, с частичным шифрованием. Размер и способ обработки каждого файла зависят от его объёма и рассчитываются с использованием сложных математических операций. Такой подход затрудняет статический анализ и делает поведение шифратора менее предсказуемым.

Также была изменена структура работы с оперативной памятью: теперь для каждой стадии шифрования используются отдельные буферы. Это увеличивает сложность кода и снижает вероятность обнаружения при анализе. Кроме того, новая версия выводит более подробную информацию в процессе обработки файлов, тогда как ранее ограничивалась лишь сообщением об окончании задачи.

Объектами атак по-прежнему остаются файлы виртуальных машин, которые после шифрования получают расширение «.emario». В каждом затронутом каталоге оставляется сообщение с инструкциями по восстановлению доступа к данным.

Специалисты Unit 42 подчёркивают, что подобное развитие шифратора RansomHouse — тревожный сигнал. Повышенная сложность мешает расшифровке и значительно затрудняет анализ образцов, что говорит о чётко выстроенной стратегии, нацеленной не на масштаб, а на эффективность и скрытность.