С каждым днем злоумышленники становятся все изобретательнее и разрабатывают инновационные, более скрытые техники атак. Ярким примером тому может служить новое семейство бесфайлового вымогательского ПО Sorebrect, недавно обнаруженное специалистами компании Trend Micro.
В отличие от остальных шифровальщиков Sorebrect ориентирован на корпоративные системы. Программа внедряет вредоносный код, инициирующий процесс шифрования, в легитимные системные процессы (svchost.exe) на целевом компьютере, а затем самоуничтожается, чтобы избежать обнаружения.
Sorebrect получает доступ к учетным данным администратора при помощи метода брутфорс или других техник и использует Microsoft Sysinternals PsExec (утилита для удаленого выполнения команд) для шифрования файлов. Как пояснили исследователи, PsExec позволяет атакующим удаленно выполнять команды без необходимости организации авторизации или переноса вручную вредоносного ПО на удаленный компьютер.
Вымогатель также сканирует локальную сеть на наличие компьютеров с общедоступными папками. Затем Sorebrect удаляет все записи в журнале событий (с помощью wevtutil.exe), а также теневые копии файлов на инфицированном компьютере. По аналогии с другими вредоносными программами Sorebrect использует Tor для безопасного взаимодействия с управляющим сервером.
По данным экспертов, Sorebrect разработан для атак на системы предприятий в различных сферах, в том числе промышленной, технологической и телекоммуникационной. До недавнего времени основными мишенями атак являлись организации в странах Ближнего Востока, в частности Кувейта и Ливана, однако с мая нынешнего года эксперты начали фиксировать атаки, направленные на пользователей в Канаде, Китае, Хорватии, Италии, Японии, России, Мексике, Тайване и США.
Вымогательское ПО — тип вредоносного программного обеспечения, блокирующее доступ к компьютеру и требующее взамен денежную выплату. Размер выкупа и причина блокировки зависят от конкретного вируса.
Утилита wevtutil.exe, начиная с Windows 7, является стандартным компонентом системы и предназначена для получения списка имен журналов, управлением их конфигурацией, получения списка источников событий, установки или удаления издателей и журналов событий из манифеста, получения сведений о состоянии журнала, а также для очистки, архивирования и экспорта журналов системы.
Источник: securitylab.ru
