Специалисты по информационной безопасности затрудняются назвать цели авторов зловреда LockerGoga, атаковавшего в марте ряд промышленных предприятий. Эксперты отмечают, что, против ожидания, создатели этой незамысловатой вредоносной программы не прилагают усилий для монетизации атаки и даже усложняют выплату выкупа. Некоторые аналитики высказывают предположение, что целью киберпреступников является уничтожение данных, а не получение прибыли.

Атаки LockerGoga на химические компании Hexion и Momentive произошли 12 марта этого года, а неделей позже стало известно, что киберпреступники также внедрили зловред на компьютеры предприятий металлургической и нефтегазовой корпорации Norsk Hydro. Несмотря на то, что с момента последнего нападения прошло больше недели и в руках специалистов находится более 30 экземпляров программы, по-прежнему неизвестно, каким образом она попадает на целевые устройства.

Эксперты отмечают, что, в отличие от шифровальщиков WannaCry или NotPetya, вредоносный штамм не имеет механизма самораспространения и, скорее всего, доставляется на компьютер через средства удаленного доступа. Попав в целевую систему, зловред размещает исполняемый файл в каталоге %TEMP% и пытается скрыть следы своей деятельности, очищая журнал событий Windows при помощи системной утилиты WevtUtil.

LockerGoga шифрует основные пользовательские файлы, включая объекты в корзине, что является необычным для программ такого типа. ИБ-специалисты Talos установили, что некоторые варианты зловреда кодируют каждый файл при помощи отдельной команды, что снижает скорость атаки и требует больших вычислительных ресурсов. Зашифрованные объекты получают расширение .LOCKED, а их оригиналы удаляются.

Как отмечают аналитики, зловред использует недокументированные возможности Windows API и библиотеки WS2_32.dll, чтобы поддерживать связь с командным сервером. Кроме того, отдельные штаммы LockerGoga не проявляют активности сразу после заражения, чтобы исключить запуск в песочнице или виртуальной машине.

В требовании выкупа, содержащемся в файле README_LOCKED.txt, злоумышленники не указывают номер биткойн-кошелька для перечисления денег, а предлагают жертве связаться с ними по электронной почте. Исследователи отмечают, что в ряде случаев LockerGoga изменяет пароль пользователя и принудительно завершает текущий сеанс. Таким образом, жертва лишается возможности прочитать письмо от вымогателей, а значит, и оплатить расшифровку файлов.

В связи с этим некоторые эксперты выразили мнение, что атаки LockerGoga могут быть связаны с деструктивной деятельностью группировок, финансируемых правительством, и не имеют целью получение выкупа.

Категории: Аналитика, Вредоносные программы