Вымогатель Maze обещает жертвам скидки на выкуп

ВЫМОГАТЕЛЬ MAZE ОБЕЩАЕТ ЖЕРТВАМ СКИДКИ НА ВЫКУП ДАННЫХ

Создатели Maze — нового варианта Windows-шифровальщика ChaCha — научили свой зловред определять тип зараженного компьютера. Полученную информацию они используют, чтобы обещать своим жертвам индивидуальную сумму выкупа.
Новую версию ChaCha обнаружил в «дикой природе» эксперт Malwarebytes Жером Сегура (Jérôme Segura). Шифровальщик распространяется с помощью эксплойт-пака Fallout, который на данный момент является одним из самых активных представителей своего класса.

Организаторы кампании запустили поддельный криптовалютный сервис Abra. Эта ширма позволила преступникам установить отношения с рекламными платформами, чтобы привлекать пользователей через сети партнерских сайтов. Кликнувшие на баннер посетители попадают на вредоносные площадки, где им предлагается скачать вымогательское ПО под видом приложения для обмена криптовалют. Такой метод продвижения (malvertising) традиционно встречается в атаках Fallout.
43936
Технически Maze, на запуск которого Windows запрашивает согласие пользователя, не слишком отличается от других шифровальщиков. Он использует алгоритм ChaCha20, создавая для каждого файла индивидуальную пару ключей, которые затем шифруются публичным ключом RSA. Заблокированные документы получают случайно сгенерированные расширения.
Аналитики отмечают, что в процессе работы Maze пытается связаться с 15 различными сайтами. Смысл этих действий пока неясен — эксперты полагают, что на запрашиваемых IP-адресах могут располагаться нерабочие командные серверы или другие служебные узлы.

По завершении процесса вымогатель оставляет жертве сообщение, которое завершается блоком зашифрованных данных с именем компьютера и активного пользователя, установленной версией Windows и прочими техническими данными. Для дальнейшей коммуникации злоумышленники рекомендуют пострадавшим скопировать этот текст в свое письмо.

Мошенники также указывают в требовании о выкупе тип пораженной машины: домашний компьютер, рабочая станция, сервер в корпоративной сети, изолированный сервер, контроллер доменов и т. д. По их задумке, это должно убедить пользователя в том, что ему предложат «адекватную цену восстановления». На момент публикации в открытых источниках нет подтверждения тому, что злоумышленники действительно делают скидки каким-то жертвам или возвращают данные после выкупа.

Новая уловка может быть реакцией на последние изменения рынка шифровальщиков — популярность этих зловредов падает, а новыми фаворитами киберпреступников становятся криптомайнеры. Жертвы вымогателей все больше осознают, что оплата выкупа вовсе не гарантирует возврат данных. Как следствие, организаторы массовых кампаний вынуждены умерять аппетиты; среднестатистическая сумма выкупа в рамках целевых атак, направленных против гарантированно платежеспособных организаций, напротив, в 2019 году заметно выросла.

На текущий момент эксперты не успели подобрать ключ для расшифровки файлов после атак разновидностей ChaCha. Это означает, что пользователям следует полагаться на традиционные меры предосторожности — регулярно обновлять Windows и выполнять резервное копирование, не скачивать ПО с подозрительных сайтов и внимательно проверять вложения в электронных письмах.

Threatpost
 
Последнее редактирование:
Назад
Сверху Снизу