Top.Mail.Ru

Обнаружен новый вымогатель, ориентированный на корпоративные системы

Обнаружен новый вымогатель, ориентированный на корпоративные системы

Новое семейство бесфайлового вымогательского ПО Sorebrect, которое недавно обнаружили специалисты компании Trend Micro, в отличие от остальных шифровальщиков ориентировано на корпоративные системы. Программа внедряет вредоносный код, инициирующий процесс шифрования, в легитимные системные процессы (svchost.exe) на целевом компьютере, а затем самоуничтожается, чтобы избежать обнаружения.

Sorebrect получает доступ к учетным данным администратора при помощи метода брутфорс или других техник и использует Microsoft Sysinternals PsExec (утилита для удаленого выполнения команд) для шифрования файлов. Как пояснили исследователи, PsExec позволяет атакующим удаленно выполнять команды без необходимости организации авторизации или переноса вручную вредоносного ПО на удаленный компьютер.

Вымогатель также сканирует локальную сеть на наличие компьютеров с общедоступными папками. Затем Sorebrect удаляет все записи в журнале событий (с помощью wevtutil.exe), а также теневые копии файлов на инфицированном компьютере. По аналогии с другими вредоносными программами Sorebrect использует Tor для безопасного взаимодействия с управляющим сервером.

По данным экспертов, Sorebrect разработан для атак на системы предприятий в различных сферах, в том числе промышленной, технологической и телекоммуникационной. До недавнего времени основными мишенями атак являлись организации в странах Ближнего Востока, в частности Кувейта и Ливана, однако с мая нынешнего года эксперты начали фиксировать атаки, направленные на пользователей в Канаде, Китае, Хорватии, Италии, Японии, России, Мексике, Тайване и США.