Поделиться
Шифровальщик на основе кода смертельно больного хакера набрасывается на жертв прямо из почтового ящика
Шифровальщик, созданный на основе кода Babuk, загружается в систему прямо из вложений в электронной почте. Жертва должна активно содействовать атаке, чтобы та прошла успешно.
OLE-объект в документе-приманке
Эксперты компании Reversing Labs описали новую версию шифровальщика AstraLocker 2, который характеризуется крайне топорным исполнением.
Основная особенность AstraLocker 2 заключается в том, что он запускается на очень раннем этапе атаки — прямо из вложений в электронной почте. Шифровальщик скрывается в OLE-объекте, встроенном в документ Microsoft Word. Чтобы запустить его, жертва должна открыть без всякой проверки вложенный в почтовое сообщение документ, затем кликнуть по иконке в нем, и игнорируя все предупреждения, одобрить запуск вложенного объекта, который к тому же представляется .exe-файлом. Наличие у потенциальной жертвы минимальных знаний о кибербезопасности должны по идее помешать успеху такой атаки. Отчасти поэтому злоумышленники чаще используют VBA-макросы, а не OLE-объекты. Первые не требуют столь же «активного содействия» со стороны потенциальной жертвы.
По данным Reversing Labs, AstraLocker 2 построен на основе исходного кода печально известного шифровальщика Babuk, опубликованного предположительно смертельно больным хакером в сентябре 2021 г.
Исследователи, проанализировавшие AstraLocker, отметили также, что его создатели использовали очень старый упаковщик SafeEngineShieldenv2.4.0.0. Его легальная версия уже не продается. Скорее всего, злоумышленники использовали взломанный вариант.
Иными словами, AstraLocker 2 собран из общедоступных компонентов и использует очень примитивную и легко блокируемую схему атаки.
Топорно, но действенно
Обычно операторы шифровальщика проводят тщательную разведку целевой инфраструктуры, запуская шифровальщик только в самую последнюю очередь. Операторы AstraLocker 2 явно бьют наудачу, надеясь, что кто-то все-таки попадется.
«Использование таких приемов явно указывает на низкий уровень компетентности операторов AstraLocker 2, но в то время как вероятность успеха таких атак довольно низка, она все же не является нулевой, — говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SEQ. — Даже с топорным исполнением шифровальщик может быть эффективным, а значит представлять интерес для большого количества малоквалифицированных, но мотивированных киберзлоумышленников, которые общими усилиями могут нанести не меньше вреда, чем профессиональные кибервымогатели».
Единственная продвинутая функция, которой обладает этот шифровальщик, — это способность определять среду запуска. AstraLocker 2 не запускается под виртуальными машинами. Кроме того, он пытается определять наименования открытых окон в среде Windows, связанных с анализаторами вредоносного кода. Любопытно, что он ищет, например, Regmonclass, название окна приложения Registry Monitor (монитор системного реестра), которое уже некоторое время назад переименовано в Process Monitor (монитор процессов).
Также AstraLocker 2 пытается сопротивляться работе программ-отладчиков и отключает процессы антивирусов и других защитных средств, а также приложений, которые могут противодействовать шифрованию файлов. Плюс к этому удаляются теневые копии и очищается корзина.
Эксперты отмечают, что в сообщении с требованием выкупа, которое генерирует шифровальщик, для перевода средств указывается тот же кошелёк Monero, которым пользуются операторы шифровальщика Chaos. Вероятно, за ним стоят те же люди, что и за AstraLocker, или их партнеры.
Короткая ссылка
