Noll
Magniber verkar vara ett experiment i ransomware inriktning.
Bild: iStock
En ny form av ransomware är att distribueras via samma metod som en av de mest framgångsrika familjer i fillåsning skadlig kod, och kan innebära en ny utveckling av hot.
Lanserades av skadliga annonser attacker på äventyras webbplatser, nya ransomware är för närvarande utformad på ett sådant sätt att det endast infekterar offer i Sydkorea.
Den ransomware levereras via Omfattning utnyttja kit, som fram till denna punkt har främst använts för att distribuera Cerber – utan tvekan den mest framgångsrika familj av ransomware av året.
Storleken har använts som ett verktyg för att distribuera ransomware – Cerber för det mesta, men det har också varit kända för att distribuera Locky och Cryptowall, men som påpekats av forskare på Trend Micro, Storlek s verksamhet väsentligt har minskat under September, till en punkt där det var icke-existerande av den 23 September.
Efter två veckors uppehåll, exploit kit verksamhet återupptas den 15: e oktober, denna gång utrustad med en ny last: vad forskare har kallats ‘Magniber’ – att kombinera namnen på Cerber och Omfattning. Cerber inte har distribuerats via Omfattning eftersom det återupptogs verksamheten.
Vid körning, är det första Magniber gör är att kontrollera vilket språk som är installerade på den infekterade systemet – om språket koreanska, nyttolasten kommer att köra. Medan vissa former av ransomware har varit kända för att inrikta sig på specifika regioner – eller instrueras att inte köra i vissa länder – det är fortfarande sällsynt att ransomware att kodas för att rikta ett särskilt land.
Som ett resultat, är det troligt att Magniber är fortfarande ett pågående arbete som de som står bakom det försök att räkna ut hur man bäst kan utnyttja särskilt mål.
Se även: Ransomware: En verkställande guide till en av de största hot på webben
“Baserat på den kod vi har hittills sett inom Magniber, ransomware kan också läsas som fortfarande är i experimentella stadier-kanske under överinseende av Magnitud är utvecklare. Ja, vi är skyldiga att se mer utveckling i både Omfattning och Magniber som deras kapacitet och taktik är finjusteras”, sade Joseph C Chen ett bedrägeri forskare på Trend Micro.
Vid infektion, Magniber offer presenteras med ett meddelande kräver en Bitcoin lösen i utbyte mot “särskild programvara” som krävs för att låsa upp den krypterade filer. Forskare vid Malwarebytes observera att mallen av det engelska språket gisslan anteckning är liknande till det av Cerber.
De som betalar inom fem dagar erbjuds en “special pris” på 0,2 Bitcoins ($1138) medan de som får vänta längre än detta tvingas betala 0.4 Bitcoins ($2275). Precis som andra former av ransomware, lösen notering kommer med instruktioner för att “hjälpa till” offer längs vägen för att köpa Bitcoins.
Den Magniber lösen not
Bild: Malwarebytes
Medan Magniber och Cerber lösen anteckningar är liknande och de är fördelade med samma exploit kit, det är där likheterna slut – Malwarebytes beskriva hur Magniber “internt det har ingenting gemensamt med Cerber och är mycket enklare”.
Faktiskt, medan Cerber är en av de mest kryptografiskt avancerade former av ransomware – ingen säkerhet forskarna har ännu inte kunnat ge en dekryptering verktyg för it – Magniber å andra sidan är mycket mindre avancerade, som innehåller lite förvirring.
Kan det vara samma hot aktörer bakom två former av ransomware, eller det kan tyda på att utnyttja kit distribuition är nu i olika händer eller har hyrts ut.
“Det är möjligt att strömbrytaren är gjort av samma aktörer som tidigare distribuerades Cerber. Men liksom tidigare angripare skulle kunna ha gett upp fördelningen av ransomware och sålde distribution verktygslåda till en annan aktör som inte äger Cerber,” en malware intelligens analytiker på Malwarebytes berättade ZDNet.
En sak är för vissa, för nu åtminstone, Magniber har ersatt Cerber som nyttolast av denna kampanj.
Men eftersom det bara nyligen dykt upp, ransomware är sannolikt att fortfarande vara aktiv i utvecklingen, så kan utvecklas för att inleda attacker som är speciellt inriktat på andra länder än Sydkorea.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Ransomware överspänningar igen, som it-brottslighet-som-en-tjänst blir mainstream för crooksThe globala ransomware epidemin är bara att komma igång [MAG]Ransomware och cyber-attacker: Vi behöver ett försvar plan, säger EuropeWorried om ransomware? Här är 3 saker som DEN ledare behöver veta innan nästa stora utbrott [TechRepublic]Denna skadliga annonser kampanj infekterade Datorer med ransomware utan att användarna även att klicka på en länk
0