Дослідники з безпеки виявили нову родину програм-вимагачів, яка націлилася на корпоративні мережі, та попередили, що професійні кіберзлочинці вже вдарили по декількох організаціях за допомогою схеми шифрування файлів.
Нове програмне забезпечення, яке називається Babuk, вже атакувало як мінімум чотири компанії, які стикаються із спробами вимагання даних, пише SecurityWeek.
За словами дослідника Чуонг Донга, програма-вимагач є досить стандартною і не має якихось хитрих особливостей, але він попередив, що кіберзлочинці досягли успіху за допомогою сильного шифрування файлів.
“Незважаючи на аматорську практику кодування, її потужна схема шифрування, яка використовує алгоритм еліптичної кривої Діффі-Хеллмана, дотепер виявилася ефективною в атаці на багато компаній”, – пояснив Донг.
Донг сказав, що Babuk, подібно до інших сімей програм-вимагачів, використовує такі методи, як багатопотокове шифрування. Також спостерігалося зловживання диспетчером перезапуску Windows, подібно до вимагачів Conti та REvil.
Babuk використовує фірмову реалізацію шифрування ChaCha8, хешування SHA256 та алгоритм Diffie – Hellman (ECDH) еліптичної кривої для генерації та обміну ключами для захисту ключів та шифрування файлів.
Крім того, для кожного зразка шкідливого програмного забезпечення автори використовують один приватний ключ. Вимагач шифрує локальні машини, лише якщо не вказано жодного параметра командного рядка. За допомогою параметрів він може шифрувати лише локально або переходити до шифрування мережевих ресурсів після шифрування локальних машин.
Babuk також включає функціональність для закриття певних служб та процесів перед початком операції шифрування. Він націлений на кілька служб резервного копіювання, а також на процеси для баз даних, офісних програм, браузера та поштових клієнтів.
Він використовує диспетчер перезапуску Windows для завершення процесів, забезпечення шифрування файлів та спроб видалення тіньових копій як до, так і після шифрування. Механізм генерації ключів, що використовується Babuk, досить складний, призначений для того, щоб жертва не могла відновити свої файли, але дозволяє зловмисникам легко генерувати загальний секрет, необхідний для дешифрування. Однак підхід до багатопоточності можна вважати посереднім, сказав Донг.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як змінити обліковий запис Google за замовчуванням на комп’ютері? – ІНСТРУКЦІЯ
Як використовувати Google Duo для здійснення відеодзвінків? – ІНСТРУКЦІЯ
Як безпечно вітати, спілкуватися, святкувати через Інтернет? Поради
Як додавати, редагувати або видаляти збережені паролі в Microsoft Edge? – ІНСТРУКЦІЯ
Зверніть увагу, більшість фішинг-кампаній працюють шляхом використання імен відомих компаній, брендів та продуктів. Мета зловмисників – змусити користувачів думати, що початкове повідомлення надходить від законної особи, збільшуючи тим самим шанси, що Ви натиснете та ініціюєте завантаження шкідливого програмного забезпечення.
Окрім цього, Google Project Zero розкрив уразливість “нульового дня” у Windows, спричинену неправильним виправленням CVE-2020-0986 – недоліка безпеки, шо став відомим з кампанії, яка отримала назву Operation PowerFall.
До речі, через одинадцять місяців після того, як компанія Microsoft офіційно припинила технічну підтримку операційної системи Windows 7, Google нарешті закликала розробників Chromium припинити використання цієї ОС.