21/11/22
Ранее неизвестная программа-вымогатель ARCrypter, которая скомпрометировала ключевые организации в Латинской Америке, теперь расширяет свои атаки по всему миру.
Исследователи в своем новом отчете связали ARCrypter с атакой на госучреждение Чили в октябре, которая привела к приостановке работы ведомства, передает Securitylab.
По словам экспертов The BlackBerry Research and Intelligence Team, ARCrypter в настоящее время расширяет свою деятельность за пределами Латинской Америки и нацелен на различные организации по всему миру, в том числе в Китае, Канаде, Германии, США и Франции.
Требования выкупа в каждом случае варьируются и достигают $5000. Эксперты объясняют это тем, ARCrypter является программой-вымогателем среднего уровня.
BlackBerry сообщает, что первые образцы ARCrypter появились в начале августа 2022 года, за несколько недель до атаки в Чили.
Вектор атаки остается неизвестным, но аналитики смогли найти 2 URL-адреса AnonFiles, которые используются в качестве удаленных серверов для получения архива «win.zip», содержащего исполняемый файл «win.exe».
Исполняемый файл представляет собой файл-дроппер, содержащий ресурсы BIN и HTML. HTML содержит записку о выкупе, а BIN включает в себя зашифрованные данные, для которых требуется пароль.
Если пароль указан, BIN-файл создает на скомпрометированном устройстве случайный каталог для хранения полезной нагрузки второго этапа ARCrypter, которая создает собственный раздел реестра для сохранения постоянства в системе.
Затем ARCrypter удаляет все теневые копии томов, чтобы предотвратить восстановление данных, изменяет сетевые настройки для обеспечения стабильного подключения, а затем шифрует файлы, кроме определенных типов.
Файлы в папках «Загрузки» и «Windows» также пропускаются, чтобы не сделать систему полностью непригодной для использования.
Помимо расширения «.crypt», зашифрованные файлы отображают сообщение «ALL YOUR FILES HAS BEEN ENCRYPTED».
.png?width=534&height=212&name=content-img(768).png)
Примечательно, что вымогатели утверждают, что они крадут данные во время своих атак, но у них нет сайта утечки для публикации украденных файлов.
В настоящее время операторах ARCrypter почти ничего не известно – их происхождение, язык и потенциальные связи с другими группировками.
