Новый вариант шифровальщика Darkside нацелен на разделы диска

Discussion in 'Мировые новости. Обсуждения.' started by alexzir, 19 May 2021.

  1. alexzir

    alexzir Elder - Старейшина

    Joined:
    29 Oct 2019
    Messages:
    984
    Likes Received:
    2,391
    Reputations:
    25
    Исследователи из Fortinet выявили неизвестный ранее вариант вымогательской программы Darkside, способный отыскивать информацию о разбиении дисков и действовать в системных средах с многозагрузочной конфигурацией. Такое поведение эксперты никогда не встречали у шифровальщиков.

    [​IMG]


    Windows-зловред Darkside, ориентированный на корпоративные сети, появился на интернет-арене в августе 2020 года. Из громких атак с его использованием наибольшее внимание привлек недавний инцидент в крупной американской компании Colonial Pipeline, после которого операторы RaaS-сервиса Darkside свернули свои операции.

    Проведенный в Fortinet анализ показал, что новый вариант Darkside создан той же криминальной группировкой, но отличен от версии, засветившейся в атаке на Colonial Pipeline. Он пока применяется точечно против небольшого числа организаций.

    Обнаружив у вредоноса функцию поиска разделов диска, эксперты вначале подумали, что с ее помощью тот отыскивает и шифрует файлы резервных копий, спрятанные админом. Однако тестирование показало, что обновленный Darkside сканирует диски с иной целью.

    Он определяет, является ли целевая система многозагрузочной, и при положительном результате ищет дополнительные тома и разделы с файлами, пригодными для шифрования. Таким образом, новоявленный вариант зловреда способен причинить больший ущерб в случае заражения.

    Новобранец также умеет отыскивать в сети контроллеры домена Active Directory и подключаться к ним, используя для аутентификации протокол LDAP. На таких серверах обычно хранится уйма информации, полезной для авторов атаки.

    Командный сервер нового Darkside находится в США и размещен у хорошо известного владельца bulletproof-хостинга, базирующегося в Нидерландах. Этот IP-адрес, по свидетельству Fortinet, и ранее неоднократно использовался в различных атаках. Управление резидентными зловредами осуществляется на порту 443 (RDP) с маршрутизацией трафика через сеть Tor. Собранные за месяц данные телеметрии показали большое количество подключений к C2-серверу с территории США (60%).
    [​IMG]

    Источник: Новый вариант шифровальщика Darkside нацелен на разделы диска
     
    #1 alexzir, 19 May 2021
    CyberTro1n and Suicide like this.
(You must log in or sign up to post here.)
Loading...
Similar Threads - вариант шифровальщика Darkside
  1. alexzir

    У шифровальщика LockBit появились версии для Mac

    alexzir, 18 Apr 2023, in forum: Мировые новости. Обсуждения.
    Replies:
    1
    Views:
    1,770
    user100
    18 Apr 2023
  2. alexzir

    Новый вариант вредоносного ПО Mirai заражает устройства Linux для создания DDoS-ботнета

    alexzir, 18 Feb 2023, in forum: Мировые новости. Обсуждения.
    Replies:
    1
    Views:
    2,218
    alexzir
    23 Feb 2023
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.