Zero
Magniber sembra essere un esperimento in ransomware di targeting.
Immagine: iStock
Una nuova forma di ransomware viene distribuito tramite lo stesso metodo come uno dei più riusciti famiglie di blocco dei file di malware, e può rappresentare una nuova evoluzione della minaccia.
Lanciato da malvertising attacchi a siti web compromessi, il nuovo ransomware è stato progettato in modo tale che infetti solo vittime in Corea del Sud.
Il ransomware è stato consegnato tramite il Magnitudo exploit kit, che fino a questo punto e stato utilizzato prevalentemente per distribuire Cerber – probabilmente il maggior successo della famiglia di ransomware dell’anno.
La magnitudo è stata utilizzata come strumento per la distribuzione di ransomware – Cerber per la maggior parte, anche se è stato anche conosciuto per distribuire Locky e Cryptowall, ma, come notato da ricercatori Trend Micro, l’entità dell’attività è sostanzialmente diminuita durante il mese di settembre, ad un punto in cui è stato inesistente dal 23 settembre.
Dopo due settimane di pausa, il kit di exploit ripreso l’attività il 15 ottobre, questa volta dotato di un nuovo payload: quello che i ricercatori hanno soprannominato ‘Magniber’ – combinando i nomi di Cerber e Grandezza. Cerber non è stato distribuito tramite Grandezza in quanto ripreso l’attività.
Al momento dell’esecuzione, la prima cosa che il Magniber non è quello di controllare la lingua installata sul sistema infetto – se la lingua è il coreano, il carico verrà eseguito. Mentre alcune forme di ransomware sono stati conosciuti per target specifici di regioni o di incaricato di non eseguire in alcuni paesi, è ancora raro per ransomware per essere codificato con riferimento a un particolare paese.
Come risultato, è probabile che Magniber è ancora un work in progress, come quelli dietro si tenta di capire come sfruttare al meglio particolari obiettivi.
Vedi anche: Ransomware: Un esecutivo a guida di una delle più grandi minacce sul web
“In base al codice che abbiamo visto finora all’interno Magniber, il ransomware può anche essere preso come ancora nelle fasi sperimentali, forse sotto l’egida di Grandezza gli sviluppatori. Infatti, siamo tenuti a vedere ulteriori sviluppi sia nella Grandezza e Magniber come le loro capacità e le tattiche sono perfezionati,” ha detto Joseph C Chen una frode ricercatore a Trend Micro.
Dopo l’infezione, Magniber vittime sono presentati con un messaggio chiedendo un Bitcoin riscatto in cambio del software speciale’ necessario sbloccare i file crittografati. I ricercatori Malwarebytes notare che il modello di lingua inglese nota di riscatto è simile a quella di Cerber.
Chi paga entro cinque giorni sono offerti un “prezzo speciale” di 0.2 Bitcoins ($1138), mentre coloro che trascorrono più di questo sono costretti a pagare 0.4 Bitcoins ($2275). Come altre forme di ransomware, la nota di riscatto viene fornito con le istruzioni per ‘aiutare’ le vittime lungo il percorso per l’acquisto di Bitcoins.
Il Magniber nota di riscatto
Immagine: Malwarebytes
Mentre il Magniber e Cerber riscatto note sono simili e sono distribuiti utilizzando lo stesso exploit kit, che le similitudini finiscono – Malwarebytes descrivere come Magniber “internamente non ha nulla in comune con il Cerber ed è molto più semplice”.
Infatti, mentre Cerber è uno dei più crittograficamente forme avanzate di ransomware – no di sicurezza, i ricercatori sono stati in grado di fornire un strumento di crittografia per Magniber, invece, è molto meno avanzati, contenente po ‘ di offuscamento.
Potrebbe essere la stessa minaccia attori dietro le due forme di ransomware, o potrebbe indicare che il kit di exploit distribuition è ora in mani diverse o è stato affittato.
“È possibile che l’interruttore è fatto dagli stessi attori, che in precedenza distribuita Cerber. Ma anche il precedente aggressori avrebbe potuto rinunciare distribuzione del ransomware e venduto la distribuzione toolkit per un altro attore che non è proprio Cerber,” un malware intelligence analyst presso Malwarebytes detto a ZDNet.
Una cosa è certa, almeno per ora, Magniber ha sostituito Cerber come la portata di questa campagna.
Tuttavia, dato che solo di recente è apparso, il ransomware è probabile che essere ancora in fase di sviluppo attivo, in modo che possa evolvere per lanciare attacchi che appositamente destinazione altri paesi diversi dalla Corea del Sud.
PER SAPERNE DI PIÙ SULLA CRIMINALITÀ INFORMATICA
Ransomware picchi di nuovo, come la criminalità informatica-as-a-service diventa mainstream per crooksThe globale ransomware epidemia è appena iniziato [CNET]Ransomware e cyber-attacchi: Abbiamo bisogno di un piano di difesa, dice EuropeWorried sul ransomware? Qui ci sono 3 cose CHE i leader devono sapere prima del prossimo grande scoppio [TechRepublic]Questo malvertising campagna infettato il Pc con ransomware senza che gli utenti anche fare clic su un link
0