Ransomware Nemty może cię kosztować 1000$
2019-10-15 14:16
Nowy ransomware © fot. mat. prasowe
Przeczytaj także: Uwaga! Nowy ransomware atakuje użytkowników Reddit
Pierwsza z próbek Nemty, którą wzięli pod lupę eksperci z laboratorium FortiGuard firmy Fortinet, pochodziła z linku udostępnionego na twitterowym koncie @BotySrt. Zresztą nie był to pierwszy raz, kiedy w tym miejscu znaleziono zagrożenie - wcześniej pojawiały się tam linki do skryptów w serwisie Pastebin, w których ukryto złośliwy kod z rodzin Sodinokibi i Buran. Tym razem kliknięcie w link powodowało przeniesienie do skryptu Powershell, który uruchamiał osadzony malware za pomocą metody Reflective PE Injection. To jednak, co analitycy pobrali spod linku Sodinokibi, nie okazało się tym razem oczekiwanym i dobrze już znanym ransomware’em, ale ścieżką prowadzącą do zupełnie nowego kodu, który w nieco późniejszym czasie zidentyfikowany został jako Nemty.I wprawdzie specjaliści z Fortinet znaleźli w kodzie Nemty kilka nieprawidłowości, to jednak nie oznacza to, że szkodnik przestał być zagrożeniem. Przeciwnie - nadal może szyfrować pliki w systemie ofiary.
- Co ciekawe, podczas analizy tego złośliwego kodu odnaleziono pewne elementy używane także przez ransomware GandCrab, który jeszcze niedawno był jednym z najniebezpieczniejszych programów tego typu – mówi Robert Dąbrowski, szef zespołu inżynierów Fortinet w Polsce. – W dodatku Nemty jest dystrybuowane tą samą metodą co Sodinokibi, które również ma wiele podobieństw do GandCraba. Trudno jednak orzec, czy istnieje jakakolwiek rzeczywista relacja między nimi.
Jak działa Nemty?
Strona płatności okupu jest hostowana w sieci TOR, co jest standardową praktyką stosowaną w celu zachowania anonimowości w przypadku oprogramowania wyłudzającego okup. Aby przejść do strony głównej płatności, ofiara musiała przesłać zaszyfrowany plik konfiguracyjny oraz zaszyfrowany plik do testu deszyfrowania. W momencie powstania tego artykułu cyberprzestępcy żądali równowartości tysiąca dolarów w Bitcoinach w zamian za odzyskanie plików.
fot. mat. prasowe
Nota okupu
Strona płatności dostępna jest w języku angielskim i rosyjskim, co – jak wskazują analitycy Fortinet – może być nietypowe i mylące. Biorąc pod uwagę osadzone w kodzie oprogramowania oświadczenie w języku rosyjskim, łatwo założyć, że twórcy Nemty pochodzą z Rosji. Zazwyczaj cyberprzestępcy z tego kraju unikają ataków na swoich rodaków, aby nie przyciągać uwagi władz.
Zdaniem ekspertów Fortinet Nemty może być kolejnym przykładem dystrybucji złośliwego oprogramowania w modelu usługowym (RaaS – Ransomware-as-a-Service). Oznacza to, że będzie ono wkrótce dystrybuowane za pomocą innych narzędzi.
oprac. : eGospodarka.pl
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)