Создатели шифровальщика Scarab выпустили новую версию зловреда, которая ориентирована исключительно на российские компании. Вымогатель второго поколения получил название Scarabey и применяется для целевых атак через протокол удаленного доступа (Remote Desktop Protocol, RDP).

Эксперты Malwarebytes отметили, что код обновленного «Скарабея» практически полностью совпадает с первой версией. Главное различие состоит в способе распространения — если Scarab попадал к жертвам через спам с ботнета Necurs, то Scarabey злоумышленники устанавливают вручную через уязвимые RDP-подключения. Это позволяет заключить, что преступники решили сконцентрироваться на корпоративном сегменте.

Текст с требованием выкупа, который Scarabey оставляет своим жертвам, написан по-русски и полностью совпадает по содержанию с англоязычным посланием первого шифровальщика. Когда исследователи перевели его с помощью Google Translate, они увидели те же ошибки, что и в сообщении Scarab. Это стало весомым подтверждением тому, что оба зловреда разработали одни и те же люди.

Какой выкуп требуют вымогатели за расшифровку, неизвестно. В случае Scarab преступники говорили, что она зависит от скорости ответа на их требования. Теперь же они угрожают удалять по 24 файла каждые 24 часа, а через трое суток вовсе стереть содержимое компьютера. Тем не менее, аналитики не нашли в коде Scarabey возможности удалять информацию, поэтому это заявление можно считать блефом. Ложью оказалось и заявление преступников, будто зловред скопировал данные пользователя — он умеет только шифровать их.

Техническое различие между двумя шифровальщиками состоит в том, что первый написан на Visual C, а второй — на Delphi без применения C++.

Ранее эксперты уже отмечали опасность уязвимых RDP-портов, через которые все чаще идут атаки вымогателей. Эту брешь использовали такие зловреды, как LockCrypt, Crysis, Samas (SamSam), DMA Locker, Bucbi и другие. Удаленное подключение позволяет преступникам деактивировать защитные системы и обеспечить себе долгосрочное присутствие в ИТ-инфраструктуре. Причиной взлома зачастую становятся слабые пароли, которые определяются простым подбором.

Категории: Аналитика, Вредоносные программы