Редкий шифровальщик атакует Windows и Linux-серверы

Исследователи кибербезопасности обнаружили шифровальщик, написанный на редком языке PureBasic, атакующий серверы под управлением Windows и Linux. Анализ кода заставил предположить, что этот вредоносный софт ранее был простым бэкдором, - передает SCNews.

Эксперты компании Intzer и подразделения IBM X-Force IRIS team опубликовали анализ нового шифровальщика PureLocker, характеризующегося целым рядом нетипичных для программ подобного рода особенностей. Шифровальщик атакует прежде всего корпоративные серверы под управлением Windows и Linux.

«Обращает внимание язык программирования, на котором он написан. Это далеко не самый распространённый язык. Он, во-первых, кроссплатформенный, во-вторых, как ни странно, многие антивирусы с трудом справляются с написанными на нём программами», - резюмируют представители IBM. - «Вдобавок, код PureBasic легко портируется на Windows, Linux, OS X, что упрощает атаки на различные платформы».

К нетипичным для шифровальщикам особенностям исследователи отнесли также его механизмы противодействия обнаружению. Например, этот вредонос пытается избежать перехвата функций API, NTDLL посредством скачивания другой копии ntdll.dll и разрешения API-адресов из неё. Перехват API позволяет антивирусным системам видеть, что именно делает любая функция, которую вызывает программа.

Исследователи отметили, что это - распространённая методика ухода от обнаружения, но шифровальщики ею пользуются весьма редко. Кроме того, вредонос вызывает утилиту Windows regsrv32.exe для «тихой» установки библиотечного компонента PureLocker - никаких диалоговых окон пользователю не выводится. Позднее шифровальщик проверяет, был ли произведён запуск regsrv32.exe, и файловое расширение - .dll Или .ocx; кроме того, он проверяет, установлен ли на машине 2019 год и наличие административных прав у жертвы. Если хоть одно условие не выполнено, вредонос деактивируется.

По мнению экспертов, такое поведение нетипично для шифровальщиков, которые обычно не проявляют особой избирательности. Напротив, они стремятся заразить как можно больше машин. При анализе кода, исследователи обнаружили в PureLocker заимствования из кода бэкдора more_eggs, который в даркнете предлагается в формате MaaS. Им активно пользуются финансовые киберкриминальные группировки Cobalt Group и FIN6.