Киберпреступники, стоящие за вымогателем GandCrab, заключили партнерское соглашение с криптографическим сервисом NTCrypt и предлагают покупателям услуги по шифрованию кода зловреда. Об этом стало известно из анонсов на криминальных форумах в дарквебе. Подобное сотрудничество может поднять обфускацию текста программы на новый уровень и затруднить ее обнаружение антивирусными приложениями.

Злоумышленники объявили конкурс на лучший криптор для GandCrab 20 сентября этого года, а уже через неделю NTCrypt объявили о специальных ценах на свои услуги для подписчиков шифровальщика.

Клиенты зловреда, распространяемого по модели RaaS (вымогатель-как-услуга), могут воспользоваться разовой обфускацией кода за $150 или купить недельную подписку за $350. Для остальных покупателей сервис предлагает только месячные тарифы по цене от $800.

Специалисты McAfee, наблюдающие за развитием ситуации, подчеркивают, что речь идет не о встраивании в вымогатель механизмов шифрования кода, а лишь о такой возможности для злоумышленников. По сути, это лишь маркетинговое предложение, поскольку покупатели зловреда способны выбрать и другой криптор. Эксперты отмечают, что подобное сотрудничество указывает на популярность GandCrab в среде киберпреступников и не исключают появления новых альянсов в будущем.

Это мнение подтверждает включение вымогателя в состав эксплойт-кита Fallout, о поддержке которого создатели GandCrab объявили отдельно. Специалисты отмечают, что стоящая за вредоносной программой группа злоумышленников обладает не только навыками программирования, но и знаниями в области маркетинга и продвижения ПО.

Объявление о сотрудничестве GandCrab и NTCrypt совпало с выходом пятой версии вымогателя. Изначально новая сборка вредоносной программы содержала серьезную ошибку, не позволявшую ей кодировать файлы на компьютерах под управлением Windows XP. В релизе5.0.2 злоумышленники исправили баг, а также добавили два новых эксплойта, направленных на повышение привилегий в атакуемой системе.

Последняя версия зловреда способна проникать на целевое устройство при помощи PowerShell-скрипта. Таким образом, количество возможных вариантов атаки GandCrab увеличилось до шести. По информации экспертов, программа также может быть доставлена через:

  • трояны;
  • эксплойт-киты;
  • ботнет;
  • спам-рассылку;
  • инструменты удаленного доступа.

В новой версии авторы GandCrab размещают требования о выкупе в виде обоев рабочего стола Windows. Графический файл с персонализированным сообщением создается после завершения шифрования данных. Кроме того, в новом релизе увеличена длина расширения закодированных объектов — с пяти до десяти случайных символов.

Категории: Вредоносные программы, Главное, Другие темы