В «Лаборатории Касперского» проанализировали новый троянец, использующийся для целевых атак на корпоративные инфраструктуры. Зловред получил название PetrWrap, и, как предполагает его название, он использует всем известный шифровальщик Petya без разрешения разработчиков последнего.

Шифровальщик Petya, обнаруженный «Лабораторией Касперского» в 2016 году, — нашумевший вымогатель, отличающийся сложным и устойчивым криптографическим алгоритмом. Petya распространяется по модели «вымогатели как услуга» (Ramsomware-as-a-Service, RaaS): владельцы кода «лицензируют» его различным группировкам киберпреступников за часть прибыли от вымогательских кампаний. Недавно эксперты «Касперского» объяснили особенности подобной «бизнес-модели», согласно которой вирусописатели, создающие зловреды, могут рассчитывать на наибольшую долю прибыли.

Чтобы предотвратить несанкционированное копирование кода и неавторизованное использование шифровальщика, его авторы встроили в код Petya несколько защитных механизмов, однако создателям PetrWrap удалось их обойти. Таким образом, новый троянец использует собственные ключи шифрования вместо тех, что применяются в Petya по умолчанию, поэтому для расшифровки данных в случае уплаты выкупа PetrWrap также не требуется помощь авторов оригинального вымогателя.

Petya до сих пор остается одним из самых опасных и грозных вымогателей. Он обладает практически совершенным криптографическим алгоритмом, который исследователи пока так и не смогли взломать. В предыдущих модификациях имелись уязвимости, которые позволяли исследователям обходить шифрование, но с тех пор разработчики закрыли все дыры.

Проанализировав PetrWrap, исследователи отметили наиболее опасные его характеристики. В результате атаки шифруется MFT-таблица, а сам компьютер блокируется. При этом на экране блокировки нет характерного для Petya мигающего черепа и не содержится упоминаний о названии зловреда, что затрудняет оценку ситуации и определение степени причиненного ущерба. К тому же разработчикам PetrWrap не пришлось писать низкоуровневый код загрузчика, тем самым они избежали риска допустить ошибки, аналогичные наблюдавшимся в ранних версиях Petya.

По словам эксперта «Лаборатории Касперского» Антона Иванова, киберпреступники стали нападать друг на друга, и это свидетельствует о переделе рынка конкурирующими кибергруппировками. «В случае с PetrWrap нас беспокоит тот факт, что троянец-шифровальщик используется для целенаправленных атак. Это не первый подобный случай и, к сожалению, наверняка не последний. Мы настоятельно рекомендуем компаниям уделять максимальное внимание защите сетевой инфраструктуры от этого типа угроз, иначе последствия могут быть катастрофическими», — заявил Иванов.

Категории: аналитика, вредоносные программы, Главное

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *