Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Вымогатель Thanos обзавелся модулем для перезаписи MBR

08/09/20

hack105

Новый вариант вымогательского ПО Thanos пытается доставить на атакуемые системы записку с требованием выкупа путем перезаписи главной загрузочной записи (master boot record, MBR) Windows. Однако все попытки оказываются безуспешными.

Новый модуль Thanos для перезаписи MBR был обнаружен специалистами подразделения Unit 42 компании Palo Alto Networks. Эксперты выявили его во время анализа двух атак с использованием вариантов Thanos на госучреждения в странах Северной Африки и Среднего Востока в июле 2020 года.

Как отмечает аналитик Unit 42 Роберт Фальконе (Robert Falcone), перезапись MBR – довольно агрессивная функция, нехарактерная для традиционного вымогательского ПО. По его словам, для восстановления зашифрованных файлов жертвам (даже если они уплатили выкуп) придется приложить больше усилий.

«К счастью, в данном случае ответственный за перезапись MBR код стал исключением, поскольку записка с требованием выкупа содержала недействительные символы, благодаря чему MBR осталась нетронутой, и система загрузилась как положено», - сообщил Фальконе.

Подобным функционалом в 2016 году обладало вымогательское ПО Petya. Вредонос подменял MBR на скомпрометированном устройстве экраном блокировки, на котором отображалось требование выкупа. Кроме того, Petya отображал поддельное окно приложения для проверки жестких дисков CHKDSK с целью шифрования MFT в фоновом режиме, в результате чего все файлы становились недоступными.

Хотя попытки Thanos перезаписать MBR оказываются безуспешными, вымогателю все равно удается отобразить требование выкупа стандартным методом – путем создания текстового файла HOW_TO_DECIPHER_FILES.txt, в котором от жертвы требуется $20 тыс. за ключ для расшифровки файлов.

Во время анализа восстановленных после атаки образцов Thanos исследователи обнаружили действительные учетные данные. Это навело их на мысль о том, что прежде чем развертывать вымогательское ПО, операторы вымогателя получают доступ к сетям жертвы.

Темы:УгрозыВымогателиPalo Alto Networks
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...