SafeUM
Home Блог Услуги Скачать Помощь О нас Пополнить
EN
RU

Axarhöfði 14, 110 Reykjavik, Iceland

Iceland - 2015
SafeUM
Блог
Услуги
Скачать
Помощь
О нас
Пополнить
Меню
RU
Язык
EN
RU
Архив
TOP Security!
27 Ноя 2015

Набор эксплоитов Nuclear начал распространять Cryptowall 4.0

Новейшая версия шифровальщика Cryptowall начала раздаваться через эксплойт-паки. В минувший уик-энд исследователи из центра SANS по сетевым угрозам обнаружили, что операторы Nuclear, регистрирующие свои домены у BizCN, добавили еще одну позицию в свой список полезных нагрузок.

В блог-записи, опубликованной в минувший вторник, ИБ-эксперт Rackspace и постоянный автор ISC SANS Брэд Дункан отметил, что до недавнего времени Cryptowall 4.0 распространялся преимущественно в виде вложений в спам-письма.

Применение эксплойт-пака с этой целью исследователь фиксирует впервые. «Раздача версии 4.0 взамен Cryptowall 3.0 была вполне ожидаемой, — заявил Дункан журналистам. — То же самое произошло в 2014 году, когда на смену исходному Cryptowall пришел Cryptowall 2.0. Обновление не было разовой акцией, оно началось с вредоносного спама, затем в ход пошли эксплойт-паки. Распространители Cryptowall 4.0 тоже начали применять наборы эксплойтов, но это не значит, что все они будут задействованы одновременно. К схеме распространения будет подключен один, затем второй, третий, и в какой-то момент все они станут грузить новую версию».

Криминальная группа, пользующаяся услугами китайского регистратора, недавно сменила IP-адреса для «шлюзовых» доменов, служащих посредниками между скомпрометированными сайтами-редиректорами и серверами, на которых размещен Nuclear.

«Сервер-шлюз получает информацию об операционной системе и типе браузера, руководствуясь строкой агента пользователя в HTTP-заголовке запроса, поданного потенциальной жертвой, — поясняет Дункан схему эксплойт-атаки. — От этих данных зависит ответ шлюзового сервера. Если ОС — не Windows, BizCN-шлюз возвращает ошибку 404 (ибо нет смысла расходовать ресурсы на хост, не имеющий пригодных уязвимостей). Если в строке пользовательского агента указана Windows, шлюзовый сервер вернет 200 OK и направит трафик на сервер с эксплойтами».

В своей блог-записи на сайте ISC SANS исследователь приводит примеры шаблонов URL, обнаруженных в трафике на BizCN-шлюзах, и другие индикаторы компрометации. Дункан также высказал предположение, что хозяева Cryptowall 4.0 не ограничатся Nuclear и будут опробовать другие эксплойт-паки, в частности Angler.

Спам при этом, скорее всего, останется в качестве альтернативного способа доставки. «Они не откажутся от спама, — предрекает эксперт. — Раздача Cryptowall 4.0 через эксплойт-паки будет набирать обороты, но вредоносные спам-рассылки не прекратятся. Мы просто наблюдаем замену версии 3 более новой. Некоторые криминальные группы распространяют 4.0 через спам, другие используют эксплойт-паки».

Дункан также отметил некоторые особенности, отличающие новую версию криптоблокера от предыдущей. В частности, в сообщении с требованием выкупа имя зловреда указано как Cryptowall, без номера версии. Cryptowall 4.0 также не регистрирует IP-адрес жертвы, как это было ранее: «Сетевой трафик Cryptowall 4.0 почти идентичен тому, что мы наблюдали в случае с 3.0, за исключением отсутствия проверки IP-адреса. На настоящий момент сигнатуры Snort, полученные в ходе подключения Cryptowall 3.0 к управляющим центрам, действительны и для 4.0».

Теги:
Cryptowall утечка информации
Источник:
Threatpost
1623
ДРУГИЕ НОВОСТИ
3 Июль 2020 safeum news imgage Полиция произвела множество арестов, взломав защищённый мессенджер
4 Май 2020 safeum news imgage Европол сообщил об аресте членов польской хак-группы Infinity Black
12 Дек 2019 safeum news imgage Шифрование под угрозой. Как это отразится на нас
4 Ноя 2019 safeum news imgage Должны ли важные решения приниматься на основании лишь фактов, или интуиция имеет право на жизнь?
7 Июнь 2018 safeum news imgage Ворующий данные вирус для роутеров умеет обходить шифрование
4 Июнь 2018 safeum news imgage Мошенники атакуют пользователей сервиса Booking.com
1 Июнь 2018 safeum news imgage Оператор крупнейшей точки обмена трафиком подал в суд на немецкую спецслужбу
30 Май 2018 safeum news imgage ФБР выявило два инструмента северокорейских кибершпионов
29 Май 2018 safeum news imgage Новый закон позволил европейцам требовать миллиарды у Google и Facebook
25 Май 2018 safeum news imgage Предустановленное вредоносное ПО обнаружили на сотнях моделей смартфонов
24 Май 2018 safeum news imgage GPS-трекеры для домашних животных позволяют следить за их хозяевами
23 Май 2018 safeum news imgage К Google подали иск из-за слежки за пользователями iPhone
21 Май 2018 safeum news imgage Данные о местоположении всех смартфонов в США оказались в открытом доступе
18 Май 2018 safeum news imgage Власти США запустили фальшивое ICO
17 Май 2018 safeum news imgage Хакеры похитили сотни миллионов у банков Мексики
Все новости
SafeUM
Конфиденциальность Правила использования Наши технологии О компании
Контакты
Скачать
SafeUM © Безопасный универсальный мессенджер

Axarhöfði 14,
110 Reykjavik, Iceland

Iceland - 2015