Эксплойт-пак RIG сохраняет активность, несмотря на общий спад на этом рынке; с недавних пор он используется для доставки относительно новой вымогательской программы — CryptoShield.

По данным ISC SANS, за новой схемой RIG — CryptoShield стоит группировка, известная с 2014 года как автор вредоносной EITest-кампании. Рост трафика, ассоциированного с EITest, отметил постоянный наблюдатель из ISC SANS Брэд Дункан (Brad Duncan). «EITest известна распространением других типов вредоносного ПО, однако последнюю неделю или около того я наблюдаю множество случаев доставки вымогателя CryptoShield», — говорит исследователь.

Шифровальщик CryptoShield относится к семейству CryptoMix и был обнаружен исследователем Kafeine в ходе EITest-кампании. Согласно январской публикации Bleeping Computer, после заражения CryptoShield создает уникальный ID и ключ шифрования, а затем шифрует файлы на локальном диске. Зашифрованным файлам присваивается расширение .CRYPTOSHIELD.

Вот как Дункан описывает типовую атаку в рамках текущей EITest-кампании. Когда пользователь заходит через браузер на скомпрометированный сайт или страницу с вредоносной рекламой, происходит перенаправление на лендинг-страницу RIG. После отработки эксплойта на машину жертвы загружается CryptoShield. При этом вначале появляется сообщение об ошибке приложения, а затем — нотификация UAC Windows. Если нажать кнопки согласия в обоих окнах, на рабочий стол будет выведен текст с инструкциями по расшифровке файлов и оплате.

ISC SANS - RIG-CryptoShield

ISC SANS - RIG-CryptoShield 1

Дункан идентифицировал два IP-адреса и домена RIG (194[.]87[.]93[.]53 для need[.]southpadreforsale[.]com и 194[.]87[.]93[.]53 для star[.]southpadrefishingguide[.]com), а также 45[.]63[.]115[.]214, с которым взаимодействует CryptoShield после заражения. Тем не менее исследователь отметил, что IP и домены, ассоциируемые с RIG, меняются раз в сутки, иногда чаще, так что обнаруженные им адреса, скорее всего, уже недействительны.

Насколько известно, RIG в настоящее время единственный способ доставки CryptoShield, по почте этот зловред не распространяется. «В настоящее время RIG доминирует среди известных мне эксплойт-паков, — говорит Дункан. — Другие наборы эксплойтов, такие как Magnitude и Sundown, тоже пока активны, подтверждение этому я вижу каждый день. Однако если оценивать эту активность количественно, индикаторов RIG получится больше. На долю RIG приходится большинство (50% или даже больше) индикаторов эксплойт-паков, которые я фиксирую».

Категории: Вредоносные программы