Хакери використовувати MBR-ONI Ransomware в якості цільової склоочисника

Computer Security News

ОНІ вимагачів був знайдений в Японії, на початку цього року. На думку дослідників безпеки, загроза є підвидів GlobeImposter вимагачів які, “Коли вона заражає його, він шифрує файл, призначає розширення .oni до назви файла і просить оплати, щоб розшифрувати його”

Експерти з Cybereason стверджують, що ОНІ менш вимагачів і більше “склоочисника для прикриття розробити злому операцію”.

В їх остання доповідь Вчені пов’язали використання ONI складні напади на японській індустрії. Вторгненням тривав від трьох до дев’яти місяців і лише завершилася у використанні вимагачів. Загроза по суті, використовувався приховати призначення і ефект рубати.

Cybereason розслідування показало, нові буткітів вимагачів, називається MBR-ONI, яка змінює MBR і шифрує розділів диска.

“Ми прийшли до висновку, що ONI і MBR-ONI випливають з того ж актора загрозу так, як вони були використані в поєднанні в ж цільові атаки та їх викуп Примітка містить саму адресу електронної пошти,” державних експертів.

Ім’я, ONI походить від зашифрованих файлів, розширення файлу: ‘.oni’, що означає “диявол” японською мовою. Термін також відображається на контактну адресу електронної пошти використовується в нотатки викупу: “Oninoy0ru”, що можна перекласти як японська “Ніч диявола”.

Аналізуючи випадки нападу, Cybereason помітив методи роботи. Вона почалася з успішним спис фішинг-атак, які призвели до Ammyy Admin щур введення, після якої настає період розвідувальна та обліковими даними крадіжки і бічний рух “в кінцевому підсумку шкоди для критичних активів, у тому числі (контролер домену Постійного струму), щоб отримати повний контроль над мережею.”

Заключним етапом напад є використання журналу двірники і ONI через ізгоїв групової політики (GPO), в яку Cybereason описує як ‘політику випаленої землі’. GPO б скопіюйте пакетного сценарію з DC-сервера витираючи чистої журнали подій у Windows для покриття на нападників треків і уникнути виявлення на основі журналу.

Пакетний файл використовується команда wevtutil разом з “cl” прапор, знявши події з більш ніж 460 вказаного журналів подій. ОНІ буде також скопійовано з постійного струму і виконані, шифруючи великий масив файлів.

MBR-ONI ransomware використовується більш рідко проти невелику кількість кінцеві точки. Це були критичні активи, такі як Рекламний сервер та файлові сервери. Незважаючи на те, що ONI і MBR-ONI технічно бути розшифровані (і як наслідок можуть бути класифіковані як вимагачів замість двірники), “Ми підозрюємо,” на думку політологів, “що MBR-ONI використовувався як склоочищувача приховати операції справжній мотив.”

Дослідники підозрюють, що EternalBlue була використана з іншими інструментами для розповсюдження через мережі. Незважаючи на те, що очищення журналу та даних корупції, викликані нападів робить це важко бути підтверджено відзначили патч EternalBlue не був встановлений на загрозу машин, та вразливих SMBv1 залишається увімкненим.

ОНІ вимагачів ділиться код з GlobeImposter і показує сліди російської мови. “Хоча цей тип докази могли залишилося за призначенням від нападників, як decoy,” експерти держави, “може також припускати, що теракти були що проводяться як за російськомовних або, по крайней мере, що на вимагачів була написана Російська Виступаючі.”

MBR-ONI ransomware використовує той же викупу повідомлення і ID для всіх заражені машини. Модифікована версія з відкритим вихідним кодом DiskCryptor інструмент використовувався для шифрування. Хоча це може бути розшифровані, якщо нападники вказати правильний ключ, , “ми підозрюємо, що нападники ніколи не має на меті надання відновлення для зашифрованих машин. Натомість програма була покликана використовуватися як це wiper для покриття на нападників будинків і приховати на атаки мотив.”

На думку експертів це малоймовірно, що грошових махінацій є єдиним мотивом для нападу на ONI в Японії. Дослідники також увагу, що все більше повідомлень про вимагачів використовуються як це wiper кіберзлочинців і національні держави в інших частинах світу.


Leave a Reply

Your email address will not be published. Required fields are marked *