Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Вымогатель Thanos обзавелся модулем для перезаписи MBR

08/09/20

hack105

Новый вариант вымогательского ПО Thanos пытается доставить на атакуемые системы записку с требованием выкупа путем перезаписи главной загрузочной записи (master boot record, MBR) Windows. Однако все попытки оказываются безуспешными.

Новый модуль Thanos для перезаписи MBR был обнаружен специалистами подразделения Unit 42 компании Palo Alto Networks. Эксперты выявили его во время анализа двух атак с использованием вариантов Thanos на госучреждения в странах Северной Африки и Среднего Востока в июле 2020 года.

Как отмечает аналитик Unit 42 Роберт Фальконе (Robert Falcone), перезапись MBR – довольно агрессивная функция, нехарактерная для традиционного вымогательского ПО. По его словам, для восстановления зашифрованных файлов жертвам (даже если они уплатили выкуп) придется приложить больше усилий.

«К счастью, в данном случае ответственный за перезапись MBR код стал исключением, поскольку записка с требованием выкупа содержала недействительные символы, благодаря чему MBR осталась нетронутой, и система загрузилась как положено», - сообщил Фальконе.

Подобным функционалом в 2016 году обладало вымогательское ПО Petya. Вредонос подменял MBR на скомпрометированном устройстве экраном блокировки, на котором отображалось требование выкупа. Кроме того, Petya отображал поддельное окно приложения для проверки жестких дисков CHKDSK с целью шифрования MFT в фоновом режиме, в результате чего все файлы становились недоступными.

Хотя попытки Thanos перезаписать MBR оказываются безуспешными, вымогателю все равно удается отобразить требование выкупа стандартным методом – путем создания текстового файла HOW_TO_DECIPHER_FILES.txt, в котором от жертвы требуется $20 тыс. за ключ для расшифровки файлов.

Во время анализа восстановленных после атаки образцов Thanos исследователи обнаружили действительные учетные данные. Это навело их на мысль о том, что прежде чем развертывать вымогательское ПО, операторы вымогателя получают доступ к сетям жертвы.

Темы:УгрозыВымогателиPalo Alto Networks
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...