Новейшая версия шифровальщика Cryptowall начала раздаваться через эксплойт-паки. В минувший уик-энд исследователи из центра SANS по сетевым угрозам обнаружили, что операторы Nuclear, регистрирующие свои домены у BizCN, добавили еще одну позицию в свой список полезных нагрузок.
В блог-записи, опубликованной в минувший вторник, ИБ-эксперт Rackspace и постоянный автор ISC SANS Брэд Дункан отметил, что до недавнего времени Cryptowall 4.0 распространялся преимущественно в виде вложений в спам-письма.
Применение эксплойт-пака с этой целью исследователь фиксирует впервые. «Раздача версии 4.0 взамен Cryptowall 3.0 была вполне ожидаемой, — заявил Дункан журналистам. — То же самое произошло в 2014 году, когда на смену исходному Cryptowall пришел Cryptowall 2.0. Обновление не было разовой акцией, оно началось с вредоносного спама, затем в ход пошли эксплойт-паки. Распространители Cryptowall 4.0 тоже начали применять наборы эксплойтов, но это не значит, что все они будут задействованы одновременно. К схеме распространения будет подключен один, затем второй, третий, и в какой-то момент все они станут грузить новую версию».
Криминальная группа, пользующаяся услугами китайского регистратора, недавно сменила IP-адреса для «шлюзовых» доменов, служащих посредниками между скомпрометированными сайтами-редиректорами и серверами, на которых размещен Nuclear.
«Сервер-шлюз получает информацию об операционной системе и типе браузера, руководствуясь строкой агента пользователя в HTTP-заголовке запроса, поданного потенциальной жертвой, — поясняет Дункан схему эксплойт-атаки. — От этих данных зависит ответ шлюзового сервера. Если ОС — не Windows, BizCN-шлюз возвращает ошибку 404 (ибо нет смысла расходовать ресурсы на хост, не имеющий пригодных уязвимостей). Если в строке пользовательского агента указана Windows, шлюзовый сервер вернет 200 OK и направит трафик на сервер с эксплойтами».
В своей блог-записи на сайте ISC SANS исследователь приводит примеры шаблонов URL, обнаруженных в трафике на BizCN-шлюзах, и другие индикаторы компрометации. Дункан также высказал предположение, что хозяева Cryptowall 4.0 не ограничатся Nuclear и будут опробовать другие эксплойт-паки, в частности Angler.
Спам при этом, скорее всего, останется в качестве альтернативного способа доставки. «Они не откажутся от спама, — предрекает эксперт. — Раздача Cryptowall 4.0 через эксплойт-паки будет набирать обороты, но вредоносные спам-рассылки не прекратятся. Мы просто наблюдаем замену версии 3 более новой. Некоторые криминальные группы распространяют 4.0 через спам, другие используют эксплойт-паки».
Дункан также отметил некоторые особенности, отличающие новую версию криптоблокера от предыдущей. В частности, в сообщении с требованием выкупа имя зловреда указано как Cryptowall, без номера версии. Cryptowall 4.0 также не регистрирует IP-адрес жертвы, как это было ранее: «Сетевой трафик Cryptowall 4.0 почти идентичен тому, что мы наблюдали в случае с 3.0, за исключением отсутствия проверки IP-адреса. На настоящий момент сигнатуры Snort, полученные в ходе подключения Cryptowall 3.0 к управляющим центрам, действительны и для 4.0».
