Ransomware: Alles is erger voor het beter wordt
Ransomware is nu al een groot probleem. En wat is er aan de horizon is nog verontrustender.
Een nieuwe vorm van ransomware dat is gespot in het wild maakt gebruik van wat de onderzoekers noemen “overkill” encryptie niveaus te kapen geïnfecteerde systemen.
Deze week, FortiGuard Labs zei dat de nieuwe variant, bekend als Nemty, werd onlangs gedeeld als een monster door een Twitter-bot die berichten PasteBin links naar malware code.
Een van de monsters wordt gedeeld door het bot was bedoeld om een link naar een Sodinokibi ransomware-variant, maar de bron eindigde een nieuwe malware-familie helemaal.
Sodinokibi, ook wel bekend als Sodin of REvil, is malware in een constante staat van ontwikkeling en gebruik maakt van tactieken, variërend van Windows zero-day exploits om de besmette software voor beheer op afstand consoles om systemen te infecteren.
Door de ontdekking van een sleutel geeft de ransomware ‘ s-operatoren de mogelijkheid om het decoderen van een bestand, ongeacht de public en private key instellingen, het is mogelijk dat de malware wordt aangeboden als ransomware-as-a-service (RaaS). Onderzoekers hebben al eerder aangegeven de gelijkenis tussen GandCrab en Sodinokibi code.
Terwijl een link in de binaire van de Nemty monster werd ook gebruikt door GandCrab voor de operator ‘met pensioen’ — hebben gemaakt van hun geld-en de Nemty lijkt te worden verspreid via dezelfde kanalen als Sodinokibi, zeggen de onderzoekers zijn ze nog te bewijzen met een stevige link tussen het trio.
Het is niet bekend of Nemty heeft links naar deze malware-families buiten de binaire koppeling en distributie door de Sodinokibi groep, maar het is mogelijk dat de begin-fase ransomware kan worden van de nieuwste malware aanbieden van cyberattackers aangesloten op RaaS-regelingen.
Nemty verschijnt nog steeds in de ontwikkelingsfase. Een betaling pagina is opgezet in het Tor netwerk en $1000 in Bitcoin (BTC) is gevraagd in ruil voor een decryptie sleutel tot het openen van besmette systemen.
Zie ook: Financiële activa firma PCI veroordeeld tot het betalen van 1,5 miljoen dollar voor arme cybersecurity praktijken
Terwijl er een functie voor het verzenden van gecodeerde informatie over de configuratie van het doel van de machine om de ransomware ‘ s command-and-control (C2) – server, op het moment, het IP-adres bestemd om te worden gebruikt voor de C2 is net een loopback adres.
“Het is mogelijk dat ze gewoon nog niet hebt geconfigureerd een operationele server om de gegevens te ontvangen nog niet,” zeggen de onderzoekers.
Om het coderen van een slachtoffer PC, Nemty maakt gebruik van zowel base64-codering en RC4-encryptie. In een spottende jab op elk onderzoekers reverse-engineering van de code, hebben de ontwikkelaars gebruik gemaakt van een russisch gezegde, “f**kavx00,” als hun RC4-encryptie sleutel.
AES-128 in CBC mode, RSA-2048, en RSA-8192 worden gebruikt voor het versleutelen van bestanden en het genereren van sleutels. Een 32-byte-waarde wordt gebruikt als een AES-sleutel, een RSA-2048 sleutelpaar gegenereerd, en ongewoon, RSA-encryptie met 8192 bits van de sleutel wordt gebruikt voor het coderen zowel de configuratie-bestanden en een privé sleutel.
CNET: De pivot op privacy zou kunnen komen met een $100 miljoen subsidie
FortiGuard Labs zegt dat 2048 en 4096 snaren zijn over het algemeen meer dan voldoende te versleutelen en beveiligen van berichten, en dus het gebruik van een 8192 grootte is ‘ overkill en inefficiënt voor het doel.”
“Met behulp van de meer-toets de grootte voegt een grote overhead als gevolg van aanzienlijk langere sleutels genereren en encryptie keer […] RSA-8192 kan alleen coderen 1024 bytes per keer, en nog minder als we rekening houden met de gereserveerde grootte van de vulling,” de onderzoekers opmerking. “Sinds de configuratie van de grootte zal zeker meer dan dat te wijten aan het feit dat het bevat de gecodeerde private sleutel, de malware snijdt de informatie in stukken van 1000 (0x3e8) bytes en voert meerdere activiteiten van de RSA-8192 tot de volledige informatie is gecodeerd.”
Het intensief gebruik van encryptie betekent dat het “in de praktijk niet mogelijk” om het decoderen van een gecompromitteerd systeem, volgens de cybersecurity-bedrijf. Dit is jammer, want de decryptie programma ‘ s aangeboden door cybersecurity bedrijven kan soms de enige manier om bestanden te herstellen verloren ransomware infecties zonder betaling.
TechRepublic: DNS amplificatie-aanvallen te verhogen met 1000% vanaf 2018
Er zijn problemen met de code die aangeven dat er ontwikkeling kan worden gewerkt, zoals file vergelijking herhaling zonder doel en een inefficiënte methode gebruikt om de witte lijst voor sommige extensies. De malware zal ook controleren om te zien of het IP-adres betrekking heeft op rusland, wit-Rusland, Kazachstan, Tadzjikistan, of Oekraïne — maar ongeacht het resultaat, encryptie zal blijven.
De indicatoren van de affiliate Id ‘ s begraven in de malware code is ook wijs RaaS.
Ondanks code onderwerpen en indicatoren die Nemty is nog in ontwikkeling, maar de onderzoekers zeggen dat als het nog kan coderen systemen effectief, de malware-is “een bedreiging”, zelfs in zijn huidige staat. Inderdaad, zoals in het rapport wordt afgerond, wordt er een nieuwe variant van Nemty werd gevonden — die wijzen distributie aan de gang is.
Vorige en aanverwante dekking
Skidmap malware verstopt in de kernel te verbergen illegale mijnbouw cryptocurrency
Cyberattackers nu poseren als business executives te beveiligen beveiliging certificaten
Als je een Restaurant Depot klant, niet open dat phishing-e-mail
Een tip? Get in touch veilig via WhatsApp | Signaal op +447713 025 499, of over Keybase: charlie0
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters