05/08/20
Появившееся недавно одно из самых опасных семейств вымогательского ПО WastedLocker обязано своим успехом уникальному механизму обхода решений безопасности, в том числе инструментов для блокировки программ-вымогателей.
Вымогательское ПО WastedLocker появилось в мае нынешнего года и входит в арсенал известной киберпреступной группировки Evil Corp, также известной как Dridex. Именно оно использовалось в нашумевшей атаке на компанию Garmin, предположительно заплатившую Evil Corp $10 млн за инструмент для расшифровки файлов.
Исследователи компании Sophos изучили WastedLocker и обнаружили , что для обхода обнаружения вредонос использует дополнительные средства. Его создатели разработали целую последовательность маневров, направленных на то, чтобы сбить с толку решения для защиты от вымогательского ПО, базирующиеся на анализе поведения.
Многие семейства вымогателей для обхода обнаружения используют обфускацию кода, но разработчики WastedLocker добавили к ней еще один уровень защиты – взаимодействие с функциями Windows API прямиком из памяти, куда инструментам для обнаружения вымогательского ПО, базирующимся на анализе поведения, не добраться. Для обхода этих инструментов WastedLocker шифрует файлы на атакованном компьютере с помощью ввода-вывода с отображением в память. Этот метод позволяет вымогателю прозрачно шифровать кэшированные документы в памяти, не вызывая дополнительных операций ввода-вывода на диск.
Когда заражение обнаружено, уже слишком поздно что-то предпринимать. Как правило, первым признаком атаки являются уже зашифрованные файлы и записка с требованием выкупа.
Если злоумышленникам удается получить учетные данные администратора, они могут подключиться к VPN или отключить инструменты безопасности. В отсутствие механизма двухфакторной аутентификации они легко могут авторизоваться в RDP, VPN и панелях администрирования.
