Как стало известно Bleeping Computer, авторы вымогателя Satan произвели ребрендинг и сменили способ его распространения по локальной сети. Новая версия зловреда, именуемая DBGer, вооружена легитимной утилитой Mimikatz, позволяющей извлекать пароли, которые затем используются для заражения других устройств в атакуемой организации.

Satan объявился в Сети в начале прошлого года; создатели предлагают его в пользование по RaaS-модели («вымогатель как услуга»). Арендаторы вначале распространяли этот зловред через спам, но со временем стали его кастомизировать и совершенствовать, порождая новые штаммы.

Таким образом, к примеру, появились на свет LockCrypt и более новый Iron, позаимствовавший у Satan список папок и файлов, которые следует обходить при шифровании. Iron также копирует логотип и платежный портал Maktub, а дизайн дешифратора слизал у DMA Locker.

Эволюция самого Satan тоже идет полным ходом. Повальное увлечение криптоджекингом, который оказался более выгодным, чем вымогательство, заставило тех, кто еще не готов перепрофилировать свое вредоносное орудие, добиваться повышения доходов иными методами. Авторы Satan, по всей видимости, относятся именно к этой категории, так как они и по сей день много экспериментируют, чтобы остаться на плаву.

По наблюдениям, данный вымогатель стал чаще атаковать корпоративные сети, обделяя вниманием домашних пользователей: компании более платежеспособны и охотнее расстаются с деньгами, когда речь идет о восстановлении доступа к данным. Все зафиксированные обновления Satan в основном направлены на совершенствование его механизма самораспространения.

Так, к ноябрю прошлого года в арсенале зловреда появился печально известный эксплойт EternalBlue, нацеленный на уязвимость CVE-2017-0144 в SMB-протоколе Windows. В мае список брешей, атакуемых Satan, пополнился CVE-2017-12149 (в серверах JBoss) и CVE-2017-10271 (в Weblogic). Обе эти уязвимости также зачастую используют боты, скрытно добывающие Monero. Кроме эксплойтов, майская версия Satan применяет брутфорс — против веб-приложений Tomcat.

Только что выпущенный DBGer авторы Satan снабдили возможностью воровать действующие пароли, чтобы облегчить его шествие по сети. Скачанный невнимательным служащим, новоявленный зловред, оперируя Mimikatz, получает пароли к другим компьютерам организации и начинает ее терроризировать, шифруя файлы, критически важные для рабочих процессов, и требуя плату за их расшифровку.

Категории: Аналитика, Вредоносные программы