Nul
Magniber ser ud til at blive et eksperiment i ransomware målretning.
Billede: iStock
En ny form for ransomware er at blive distribueret via den samme metode som en af de mest succesfulde familier i fil-låsning malware, og kan repræsentere en ny udvikling af den trussel.
Lanceret af malvertising angreb på kompromitterede hjemmesider, den nye ransomware er i øjeblikket designet på en sådan måde, at det kun inficerer ofre i Sydkorea.
Ransomware, der leveres via den Størrelsesorden exploit kit, som indtil dette punkt er overvejende blevet brugt til at distribuere Cerber – nok den mest succesfulde familie af ransomware af året.
Omfanget har været brugt som et værktøj til distribution af ransomware – Cerber for det meste, selv om det har også været kendt for at distribuere Locky og Cryptowall, men som bemærket af forskere på Trend Micro, Omfanget af aktivitet, i væsentlig grad faldt i løbet af September, til et punkt, hvor det blev ikke-eksisterende af 23 September.
Efter en to-ugers pause, exploit kit genoptaget aktivitet på 15 oktober, denne gang udstyret med en ny nyttelast: hvad forskere har kaldt ‘Magniber’ – ved at kombinere navnene på Cerber og Omfang. Cerber har ikke været blevet distribueret via Størrelsesorden, da det blev genoptaget aktivitet.
Ved udførelse, den første ting, Magniber gør, er at kontrollere det sprog, der er installeret på den inficerede system – hvis sprog er koreansk, nyttelast vil køre. Mens nogle former for ransomware er blevet kendt for at målrette specifikke områder – eller instrueret om ikke at køre i visse lande, er det stadig sjældent, at ransomware at blive kodet rettet mod et bestemt land.
Som et resultat, er det sandsynligt, at Magniber er stadig et arbejde i gang, som dem, der står bag det forsøg på at arbejde ud af, hvordan man bedst kunne udnytte bestemte mål.
Se også: Ransomware: executive-guide til en af de største trusler på nettet
“Baseret på den kode vi har hidtil set i Magniber, den ransomware kan også tages som stadig er i eksperimentelle faser–måske er der i regi af Størrelsesorden’ s udviklere. Faktisk, vi er nødt til at se mere udvikling i både Omfang og Magniber som deres evner og taktik er fint afstemt,” sagde Joseph C Chen et bedrageri forsker ved Trend Micro.
Efter infektion, Magniber ofre er præsenteret med en besked der kræver en Bitcoin løsesum i bytte for den “særlige software”, der er påkrævet til at frigøre de krypterede filer. Forskere ved Malwarebytes bemærk, at skabelonen for det engelske sprog løsesum bemærk svarer til, at Cerber.
Dem, der betaler inden for fem dage er tilbudt en “special price’ på 0,2 Bitcoins ($1138), mens dem, der venter længere end dette, er tvunget til at betale 0.4 Bitcoins ($2275). Ligesom andre former for ransomware, løsepenge bemærk leveres med instruktioner, der er designet til at “hjælpe” ofre langs stien for at købe Bitcoins.
Den Magniber løsesum bemærk
Billede: Malwarebytes
Mens Magniber og Cerber løsesum bemærker, er de samme, og de er fordelt ved hjælp af den samme exploit kit, det er, hvor ligheder ende – Malwarebytes beskrive, hvordan Magniber “internt, det har intet til fælles med den Cerber og er meget enklere”.
Faktisk, mens Cerber er en af de mest kryptografisk avancerede former for ransomware – ingen sikkerhed forskere har endnu ikke været i stand til at give en dekryptering af for det – Magniber på den anden side er langt mindre avanceret, der indeholder lidt misvisende.
Det kunne være den samme trussel aktører bag de to former for ransomware, eller det kunne tyde på, at den exploit kit distribuition er nu på forskellige hænder, eller har været udlejet.
“Det er muligt, at kontakten er udført af de samme aktører, der tidligere er fordelt Cerber. Men såvel den tidligere angribere kunne have givet op distribution af ransomware og solgt fordelingen toolkit til at en anden skuespiller, der ikke ejer Cerber,” en malware intelligence analytiker hos Malwarebytes fortalte ZDNet.
Én ting er sikker, for nu i hvert fald, Magniber har erstattet Cerber som nyttelasten af denne kampagne.
Men da det først for nylig dukkede op, den ransomware er sandsynligvis stadig være i aktiv udvikling, så kan udvikle sig til at iværksætte angreb, som er specielt målrettet mod andre lande, undtagen Sydkorea.
LÆS MERE OM IT-KRIMINALITET
Ransomware overspænding igen, som it-kriminalitet-as-a-service bliver mainstream for crooksThe globale ransomware-epidemien er bare med at komme i gang [CNET]Ransomware og cyber-angreb: Vi har brug for et forsvar plan, siger EuropeWorried om ransomware? Her er 3 ting, som IT-ledere har brug for at vide før den næste store udbrud [TechRepublic]Dette malvertising kampagne inficerede Pc ‘ er med ransomware uden at brugerne selv at klikke på et link
0