Goodnews.ua


Кибершпионы использовали вымогательское ПО для сокрытия своих действий

Ноябрь 03
16:31 2017

Кибершпионы использовали вымогательское ПО для сокрытия своих действий

Киберпреступники использовали вымогательское ПО ONI для сокрытия сложной таргетированной кампании Night of the Devil («Ночь дьявола») с использованием эксплоитов Агентства национальной безопасности США. В течение нескольких месяцев атаки оставались незамеченными, пока однажды злоумышленники не дернули за ниточки и не зашифровали одновременно данные на сотнях компьютеров. Их истинной целью было не получение выкупа, а уничтожение следов своего присутствия.
Кампания была направлена против нескольких организаций в Японии. Проводившие расследование атак эксперты из Cybereason пришли к выводу, что с помощью вымогателя атакующие пытались уничтожить все следы операции и данные об атаках.
Вредонос получил свое название по расширению oni, добавляемому им к зашифрованным файлам и указанному в требовании выкупа электронному адресу. В переводе с японского ONI означает «Ночь дьявола». Как выяснили эксперты, большая часть кода вредоноса была позаимствована у вымогательского ПО GlobeImposter.
ONI уже неоднократно использовался в атаках на японские организации, однако в последней кампании исследователи обнаружили новый вариант – MBR-ONI, оснащенный функционалом буткита. Вымогатель работает на базе легитимного инструмента для шифрования диска DiskCryptor. И ONI, и MBR-ONI попадают на компьютеры жертв через целенаправленные фишинговые письма. Содержащийся в письмах вредоносный документ Office загружает на систему инструмент для удаленного доступа Ammyy Admin.
Попав на атакуемую систему, злоумышленники создавали карту внутренних сетей и собирали учетные данные. Продвигаться по сети им помогал эксплоит АНБ EternalBlue. Скомпрометировав критические активы, в том числе контроллер домена, хакеры получали полный контроль над сетью и могли похищать любую интересующую их информацию.
По завершении операции киберпреступники запускали ONI и MBR-ONI для сокрытия своих следов. ONI отображает на зараженном компьютере записку с требованием выкупа и позволяет расшифровать файлы. Тем не менее, в отличие от него MBR-ONI не предполагает предоставление ключа для дешифровки. Его главное предназначение – уничтожение каких-либо свидетельств шпионской кампании.
Использование вымогательского ПО для сокрытия кибершпионских кампаний – весьма редкая практика. Тем не менее, атаки на японские организации служат примером появления новых тенденций.
Буткит – вредоносное ПО (так называемый MBR-руткит), модифицирующее загрузочный сектор MBR – первого физического сектора на жестком диске.

Источник: securitylab.ru

Share

Статьи по теме







0 Комментариев

Хотите быть первым?

Еще никто не комментировал данный материал.

Написать комментарий

Комментировать

Залишаючи свій коментар, пам'ятайте, що зміст та тональність вашого повідомлення можуть зачіпати почуття реальних людей, що безпосередньо чи опосередковано пов'язані із цією новиною. Виявляйте повагу та толерантність до своїх співрозмовників. Користувачі, які систематично порушують це правило, будуть заблоковані.

Website Protected by Spam Master


Останні новини

Ван дер Ваарт: Криштиану – единственный футболист, чей член я никогда не видел

Читать всю статью

Ми у соцмережах




Наші партнёри

UA.TODAY - Украина Сегодня UA.TODAY
Goodnews.ua