Логотип СИБ

Системы
Информационной
Безопасности

 +7 (495) 766-05-38 [email protected]
Все статьи

Вредонос «AgeLocker» использует легальное ПО для шифрования «Age»

20 июля 2020 г. 10:54
 13463

Недавно было замечено, что некоторые хакеры используют внутренние инструменты компании «Google» в качестве вектора атаки.

Некоторые умные хакеры пытаются использовать законные программные инструменты для проведения своих атак, тем самым, оставляя меньше улик и шансов для систем защиты идентифицировать угрозу. Недавно было замечено, что некоторые хакеры используют внутренние инструменты компании «Google» в качестве вектора атаки.

Что произошло?

Исследователи обнаружили новую программу-вымогатель «AgeLocker», которая использовала инструмент шифрования «Age», разработанный в «Google», для шифрования файлов жертвы.  

  • Ранее в этом месяце пользователь разместил на форумах «BleepingComputer» подробности о новом вымогателе «AgeLoker».
  • Этот вымогатель добавляет к каждому файлу текстовый заголовок, который начинается с URL-адреса age-encryption.org. Этот URL-адрес указывает на репозиторий «GitHub» утилиты шифрования «Age».
  • Вместо того, чтобы создавать записи о выкупе в зашифрованной системе, атакующие отправили жертвам требование о выкупе по электронной почте. Сообщение содержало список зашифрованных устройств и инструкции по оплате.

Заслуживающий внимания паттерн поведения

Хакеры уже не в первый раз используют этот инструмент в злонамеренных целях, аналогичный, более старый инструмент использовался несколькими группами в тех же целях.

  • Согласно официальному руководству, разработка инструмента «Age» началась в мае 2019 года и в нем была предусмотрена возможность шифрования ключей SSH. Этот инструмент был разработан как замена более старого инструмента шифрования «GPG».
  • Хакерские группы также злоупотребляли «GPG» для проведения атак с требованием выкупа.
  • Несколько известных вредоносных программ использовали «GPG» для шифрования файлов, например «Qwerty Ransomware» (2018), «VaultCrypt» (2015) и «KeyBTC» (2014).

Использование легальных инструментов шифрования хакерами

В прошлом было несколько случаев, когда хакеры злоупотребляли другими легальными инструментами в атаках вымогателей, используя их для шифрования данных жертвы и требования выкупа.

В марте 2020 года группа «TA505» атаковала предприятия в Германии через менеджеров по персоналу. Они использовали широкодоступные законные программные инструменты для маскировки своей активности, в том числе «GPG» и другие инструменты.

 

Перевод сделан со статьи https://cyware.com/