Nul
Magniber lijkt te zijn van een experiment in de ransomware-targeting.
Beeld: iStock
Een nieuwe vorm van ransomware wordt verspreid via dezelfde methode als één van de meest succesvolle gezinnen van file-locking-malware en kan vertegenwoordigen een nieuwe evolutie van de dreiging.
Gestart door malvertising aanvallen op besmette websites, de nieuwe ransomware is momenteel ontworpen op een zodanige manier waarop het infecteert alleen de slachtoffers in Zuid-Korea.
De ransomware wordt geleverd via de Magnitude exploit-kit, die tot op dit moment heeft voornamelijk werd gebruikt voor het distribueren van Cerber – misschien wel de meest succesvolle familie van ransomware van het jaar.
Grootte is gebruikt als een instrument voor het verspreiden van ransomware – Cerber voor het grootste deel, hoewel het ook bekend is, te distribueren Locky en Cryptowall, maar zoals opgemerkt door onderzoekers van Trend Micro, de Omvang van de activiteit aanzienlijk daalde in September, tot een punt waar het was non-existent door 23 September.
Na twee weken pauze, de exploit kit activiteit hervat op 15 oktober, dit keer voorzien van een nieuwe lading: wat de onderzoekers wel ‘Magniber’ – de combinatie van de namen van Cerber en Omvang. Cerber nog niet is verspreid via Magnitude sinds hervat activiteit.
Bij de uitvoering, is het eerste wat de Magniber doet is het controleren van de taal die is geïnstalleerd op de besmette systeem – als de taal is het koreaans, de lading wordt uitgevoerd. Terwijl sommige vormen van ransomware bekend te richten op specifieke regio ‘ s of de opdracht niet uit te voeren in bepaalde landen – het is nog steeds zeldzaam voor ransomware worden gecodeerd te richten op een bepaald land.
Als een resultaat, het is waarschijnlijk dat Magniber is nog steeds een work in progress, zoals de mensen achter het proberen uit te werken hoe het beste het exploiteren van bepaalde doelen.
Zie ook: Ransomware: Een executive gids naar één van de grootste bedreigingen op het web
“Op basis van de code die we tot nu toe gezien binnen Magniber, de ransomware kan ook worden opgevat als het nog in een experimentele fase, misschien zijn er onder auspiciën van de Omvang van de ontwikkelaars. Inderdaad, we zijn gebonden om meer te zien van ontwikkelingen in de Omvang en de Magniber als hun mogelijkheden en tactieken worden afgestemd,” zei Jospeh C Chen een fraude-onderzoeker bij Trend Micro.
Na infectie, Magniber slachtoffers worden gepresenteerd met een bericht vraagt om een Bitcoin losgeld in ruil voor de ‘speciale software nodig is het ontsluiten van de versleutelde bestanden. Onderzoekers van Malwarebytes opmerking dat het sjabloon van de engelse taal los geld nota is vergelijkbaar met die van Cerber.
Degenen die betalen binnen de vijf dagen een ‘speciale prijs’ van 0,2 Bitcoins ($1138), terwijl degenen die langer wachten dan dit worden gedwongen om te betalen 0.4 Bitcoins ($2275). Net als andere vormen van ransomware, het losgeld opmerking wordt geleverd met instructies die zijn ontworpen om te ‘helpen’ slachtoffers langs het pad naar het kopen van Bitcoins.
De Magniber losgeld opmerking
Afbeelding: Malwarebytes
Terwijl de Magniber en Cerber ransom notes lijken op elkaar en ze zijn verspreid met behulp van de dezelfde exploit kit, dat is waar de overeenkomsten eindigen – Malwarebytes beschrijven hoe Magniber “intern heeft niets gemeen met de Cerber en is veel eenvoudiger”.
Inderdaad, terwijl de Cerber is een van de meest cryptografisch geavanceerde vormen van ransomware – geen beveiliging hebben de onderzoekers nog niet in staat geweest om een speciale tool voor it – Magniber aan de andere kant is veel minder geavanceerd, met weinig verwarring.
Het kan dezelfde bedreiging acteurs achter de twee vormen van ransomware, of het kan betekenen dat de exploit kit distribuition is nu in handen of is verhuurd.
“Het is mogelijk dat de schakelaar is gedaan door dezelfde acteurs die voorheen verspreid Cerber. Maar ook van de vorige aanvallers konden hebben gegeven tot de verdeling van de ransomware en verkocht de verdeling toolkit voor de andere actor die geen eigen Cerber,” een malware intelligence analist bij Malwarebytes vertelde ZDNet.
Een ding is zeker, voor nu tenminste, Magniber heeft vervangen Cerber als de lading van deze campagne.
Echter, gegeven het alleen onlangs verschenen, de ransomware is waarschijnlijk nog steeds in actieve ontwikkeling, dus kon ontwikkelen om aanvallen te lanceren die speciaal doel andere landen dan Zuid-Korea.
LEES MEER OVER CYBER CRIME
Ransomware pieken weer, zoals cybercrime-as-a-service wordt mainstream voor crooksThe global ransomware epidemie is net begonnen [CNET]Ransomware en cyber-aanvallen: We hebben een verdediging van plan, zegt EuropeWorried over ransomware? Hier zijn 3 dingen leiders moeten weten voor de volgende grote uitbraak [TechRepublic]Dit malvertising campagne Pc ‘ s besmet met ransomware, zonder dat gebruikers zelfs op een link te klikken
0