Эксперты из Trend Micro недавно обнаружили новую вымогательскую программу Sorebrect, отличающуюся от других шифровальщиков тем, что она ориентирована на корпоративные системы. Программное обеспечение добавляет в системные процессы на компьютере вредоносный код, который запускает процедуру шифрования, а затем самоликвидируется во избежание обнаружения.
Sorebrect получает доступ к учетной информации администратора с помощью метода полного перебора и пользуется утилитой для дистанционного выполнения команд Microsoft Sysinternals PsExec для того, чтобы шифровать файлы. По словам экспертов, PsExec дает злоумышленникам возможность дистанционно выполнять команды без авторизации или ручного переноса вредоносной программы на дистанционный компьютер.
Вымогательская программа также осуществляет сканирование локальной сети на предмет наличия компьютеров с папками общего доступа. После Sorebrect стирает все записи в журнале событий, а также теневые копии файлов на зараженном устройстве. Для того, чтобы безопасно взаимодействовать с командным сервером, Sorebrect пользуется Tor.
Как утверждают эксперты, Sorebrect создан для того, чтобы атаковать системы различных организаций, включая промышленные предприятия, технологические и телекоммуникационные компании. Ранее операторы программы атаковали организации в ближневосточных странах, но с мая текущего года специалисты начали обнаруживать атаки на американских, итальянских, канадских, китайских, мексиканских, российских, тайваньских, хорватских и японских пользователей.