БИЗНЕС-СЕТЬ KINETICS      |    ПОРТАЛЫ:   CRM CALL-ЦЕНТРЫ ERP ECM ITSM PM АБС SEC
Как перевести компанию на удаленную работу? >>>  
IT БЕЗОПАСНОСТЬ НОВОСТИ АНАЛИТИКА СИСТЕМЫ ПОСТАВЩИКИ ФОРУМ Напишите нам!  
     Информационная безопасность — практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации.


ЛЕНТА НОВОСТЕЙ
СОБЫТИЯ И МЕРОПРИЯТИЯ
ВИДЕОНОВОСТИ
ИНТЕРВЬЮ
НОВОСТИ НА ФОРУМЕ
   
НОВОСТИ

17/06/2020

Троян-шифровальщик взламывает системы через «дыру», которую антивирусные компании не захотели закрывать



Шифровальщик Thanos стал первым вредоносом, использующим методику обхода защитных средств RIPlace, впервые описанную в 2019 г. Сейчас он распространяется по модели RaaS (шифровальщик как услуга) через российские хакерские форумы. Прежде чем получить имя Thanos, он дважды сменил название.

Разработка вредоноса велась, вероятно, с лета-осени 2019 г. По данным Bleeping Computer, его начали распространять среди потенциальных операторов в октябре 2019 г., а первые запросы техподдержки от пострадавших начали поступать в январе 2020 г. На тот момент вредонос назывался QuimeraRansomware.

Спустя непродолжительное время он уже идентифицировался как Hakbit. С февраля 2020 г. он распространяется под наименованием Thanos.

Участники партнерской программы получают около 60-70% от выручки, складывающейся из выкупов. Кроме того, им предоставляется доступ к платформе PrivateRansomwareBuilder, позволяющей генерировать уникальные исполняемые файлы и настраивать, какие именно файлы будут шифроваться и какие файлы программа будет красть.
Метод обхода

Хотя сам шифровальщик написан на С# и не отличается исключительной сложностью, у него есть ряд особенностей, отличающих его от аналогов. Используемая им методика RIPlaceбыла впервые описана компанией Nyotron, занимающейся защитой эндпойнтов.

Эксперты этой компании выяснили, что если шифровальщик переименовывает атакованный файл, используя старую функцию создания символических ссылок DefineDosDevice(), программы для защиты от шифровальщиков не смогут корректно идентифицировать операцию. Переименование сработает, но остановить шифрование защитные средства не смогут.

«Новшество RIPlace заключается в том, что драйвер фильтра функций обратного вызова оказывается неспособен корректно обработать путь назначения в рамках операции FltGetDestinationFileNameInformation, — говорится в описании Nyotron. — Он возвращает ошибку на этапе прохождения пути DosDevice вместо того, чтобы корректно выдать обработанное значение, но при этом вызов Rename срабатывает».

Эксперты компании сообщили о своем обнаружении разработчикам антивирусных решений. Но большинство ответили, что эта методика исключительно теоретическая, на практике ее никто не использует, поэтому и защищаться от нее нет смысла.



 
О портале Конфиденциальность Реклама на портале Карта сайта  
Copyright © 2010-2020 Secutity Online. All rights reserved.