Ransomware: Sigurnosni istraživači uočili su novu vrstu zlonamjernog softvera u nastajanju

  • Sep 07, 2023

Ransomware 'Magniber' potencijalno bi mogao biti eksperiment ljudi koji stoje iza obitelji Cerber ransomware.

hacker-ruke-i-kod.jpg

Čini se da je Magniber eksperiment u ciljanju ransomwarea.

Slika: iStock

Novi oblik ransomwarea distribuira se istom metodom kao jedna od najuspješnijih obitelji zlonamjernog softvera za zaključavanje datoteka i može predstavljati novu evoluciju prijetnje.

Pokrenut zlonamjernim napadima na kompromitirane web stranice, novi ransomware trenutno je dizajniran na takav način da zarazi samo žrtve u Južnoj Koreji.

Ransomware se isporučuje putem Magnitude exploit kita, koji se do ove točke uglavnom koristio za distribuciju Cerbera - vjerojatno najuspješnija obitelj ransomwarea godine.

Magnitude se koristio kao alat za distribuciju ransomwarea - uglavnom Cerber, iako je također poznato da distribuirati Lockyja i Cryptowall, ali kako su primijetili istraživači u Trend Microu, aktivnost Magnitude značajno je opala tijekom rujna, do točke u kojoj nije postojala do 23. rujna.

Nakon dvotjedne pauze, exploit kit nastavio je s radom 15. listopada, ovaj put opremljen s novim teretom: ono što su istraživači nazvali 'Magniber' - kombinirajući imena Cerber i Veličina. Cerber nije distribuiran putem Magnitude otkad je nastavio s radom.

Nakon izvršenja, prva stvar koju Magniber radi je provjera jezika instaliranog na zaraženom sustavu - ako je jezik korejski, korisni sadržaj će se pokrenuti. Iako je poznato da neki oblici ransomwarea ciljaju na određene regije - ili upućeno da se ne kandidira u određenim zemljama - još uvijek je rijetkost da ransomware bude kodiran za ciljanje određene zemlje.

Kao rezultat toga, vjerojatno je da je Magniber još u tijeku jer oni koji stoje iza njega pokušavaju otkriti kako najbolje iskoristiti određene mete.

Vidi također: Ransomware: izvršni vodič za jednu od najvećih prijetnji na webu

"Na temelju koda koji smo do sada vidjeli unutar Magnibera, ransomware se također može smatrati još uvijek u eksperimentalnoj fazi - možda pod okriljem programera Magnitudea. Doista, sigurno ćemo vidjeti više razvoja u Magnitudeu i Magniberu jer se njihove mogućnosti i taktike fino podešavaju," rekao je Jospeh C Chen, istraživač prijevara u Trend Microu.

Nakon infekcije, žrtvama Magnibera prikazuje se zahtjevna poruka Bitcoin otkupnina u zamjenu za 'poseban softver' koji je zahtijevao otključavanje šifriranih datoteka. Istraživači u Malwarebytesu imajte na umu da je predložak obavijesti o otkupnini na engleskom jeziku sličan Cerberovom.

Onima koji plate u roku od pet dana nudi se 'posebna cijena' od 0,2 Bitcoina (1138 USD), dok su oni koji čekaju dulje od toga prisiljeni platiti 0,4 Bitcoina (2275 USD). Kao i drugi oblici ransomwarea, poruka o otkupnini dolazi s uputama za 'pomoć' žrtvama na putu do kupnje Bitcoina.

Magniberova poruka o otkupnini

Slika: Malwarebytes

Iako su Magniber i Cerber bilješke o otkupnini slične i distribuiraju se pomoću istog paketa za iskorištavanje, tu je kraj sličnosti - Malwarebytes opisuje kako Magniber "iznutra nema ništa zajedničko s Cerberom i puno je jednostavnije".

Doista, iako je Cerber jedan od kriptografski najnaprednijih oblika ransomwarea - nijedan istraživač sigurnosti još nije bio u mogućnosti pružiti alat za dešifriranje - Magniber je s druge strane mnogo manje napredan, sadrži malo zamagljivanje.

To bi mogli biti isti akteri prijetnje koji stoje iza dva oblika ransomwarea ili bi moglo značiti da je distribucija exploit kita sada u drugim rukama ili je iznajmljena.

“Moguće je da zamjenu rade isti akteri koji su prethodno distribuirali Cerber. No isto tako, prethodni su napadači mogli odustati od distribucije ransomwarea i prodati ga alata za distribuciju drugom akteru koji nije vlasnik Cerbera", analitičar obavještajnih podataka o zlonamjernom softveru u Malwarebytesu rekao je za ZDNet.

Jedno je sigurno, barem za sada, Magniber je zamijenio Cerber kao teret ove kampanje.

Međutim, s obzirom na to da se tek nedavno pojavio, ransomware je vjerojatno još uvijek u aktivnom razvoju, pa bi se mogao razviti za pokretanje napada koji su posebno usmjereni na druge zemlje osim Južne Koreje.

PROČITAJTE VIŠE O KIBER KRIMINALU

  • Ransomware ponovno raste, jer kibernetički kriminal kao usluga postaje mainstream za prevarante
  • Globalna epidemija ransomwarea tek počinje [CNET]
  • Ransomware i cyber-napadi: Trebamo obrambeni plan, kaže Europa
  • Zabrinuti ste zbog ransomwarea? Evo 3 stvari koje IT čelnici trebaju znati prije sljedeće velike epidemije [TechRepublic]
  • Ova zlonamjerna kampanja zarazila je računala ransomwareom, a da korisnici nisu ni kliknuli na poveznicu