Неизвестный вирус-вымогатель ARCrypter распространяется по всему миру
21/11/22
Ранее неизвестная программа-вымогатель ARCrypter, которая скомпрометировала ключевые организации в Латинской Америке, теперь расширяет свои атаки по всему миру.
Исследователи в своем новом отчете связали ARCrypter с атакой на госучреждение Чили в октябре, которая привела к приостановке работы ведомства, передает Securitylab.
По словам экспертов The BlackBerry Research and Intelligence Team, ARCrypter в настоящее время расширяет свою деятельность за пределами Латинской Америки и нацелен на различные организации по всему миру, в том числе в Китае, Канаде, Германии, США и Франции.
Требования выкупа в каждом случае варьируются и достигают $5000. Эксперты объясняют это тем, ARCrypter является программой-вымогателем среднего уровня.
BlackBerry сообщает, что первые образцы ARCrypter появились в начале августа 2022 года, за несколько недель до атаки в Чили.
Вектор атаки остается неизвестным, но аналитики смогли найти 2 URL-адреса AnonFiles, которые используются в качестве удаленных серверов для получения архива «win.zip», содержащего исполняемый файл «win.exe».
Исполняемый файл представляет собой файл-дроппер, содержащий ресурсы BIN и HTML. HTML содержит записку о выкупе, а BIN включает в себя зашифрованные данные, для которых требуется пароль.
Если пароль указан, BIN-файл создает на скомпрометированном устройстве случайный каталог для хранения полезной нагрузки второго этапа ARCrypter, которая создает собственный раздел реестра для сохранения постоянства в системе.
Затем ARCrypter удаляет все теневые копии томов, чтобы предотвратить восстановление данных, изменяет сетевые настройки для обеспечения стабильного подключения, а затем шифрует файлы, кроме определенных типов.
Файлы в папках «Загрузки» и «Windows» также пропускаются, чтобы не сделать систему полностью непригодной для использования.
Помимо расширения «.crypt», зашифрованные файлы отображают сообщение «ALL YOUR FILES HAS BEEN ENCRYPTED».
Примечательно, что вымогатели утверждают, что они крадут данные во время своих атак, но у них нет сайта утечки для публикации украденных файлов.
В настоящее время операторах ARCrypter почти ничего не известно – их происхождение, язык и потенциальные связи с другими группировками.