AlphaLocker - вымогатель как сервис

На этой неделе исследователям стало известно о новинке, доступной на теневом рынке: относительно недорогой AlphaLocker реализуется по удобной модели «вымогатель как сервис». Одно из главных преимуществ зловреда для киберпреступников — его относительная дешевизна. Его можно купить напрямую у разработчика всего за 65 долларов (в биткойнах). Получив подтверждение оплаты, владельцы AlphaLocker предоставляют работающую копию зловреда, главный бинарный файл для расшифровки и панель администрирования атаки. Об этом сообщает компания Cylance, подготовившая полный отчет о новой угрозе.

Согласно «рекламе», AlphaLocker способен «зашифровывать все накопители, подключенные к ПК», и «продолжает процесс шифрования, даже если компьютер выключен».

Но не это более всего беспокоит аналитиков, а доступность зловреда, подчеркнул Джим Уолтер (Jim Walter), исследователь Cylance. «Низкая цена делает AlphaLocker доступным для неопытных хакеров: получив полный набор инструментов для распространения и монетизации шифровальщика, они не нуждаются ни в минимальных навыках программирования, ни в стартовом капитале — атаку можно начинать практически сразу же», — отметил эксперт.

Как и большинство видов программ-вымогателей, при инфицировании компьютера AlphaLocker начинает поиск нужных ему форматов файлов (необходимые типы файлов настраиваются хакером индивидуально), а затем командный сервер генерирует случайный AES-ключ для шифрования каждого файла.

Зашифровав файлы, зловред демонстрирует жертве текстовый файл с требованием выкупа в размере 0,35 биткойна и ссылкой на кошелек. Хотя все сопроводительные файлы и документация написаны на английском языке, исследователи думают, что автор зловреда — русскоговорящий. Некоторые файлы предполагают связь с русскоязычными хакерами, как и активное обсуждение AlphaLocker на российских хакерских форумах.

Уолтер, старший исследователь центра исследований SPEAR в Cylance, утверждает, что AlphaLocker основан на EDA2, прошлогоднем open source-проекте. Турецкий эксперт Утку Сен (Utku Sen) изначально опубликовал код EDA2 при условии, что разработка будет использоваться для образовательных целей, но код очень скоро нашел применение в реальном вымогателе.

В январе код был использован в вымогателе Magic, из-за чего Сен покинул проект. Несмотря на то что шифровальщик основан на уже готовом открытом коде, который по идее должен распознаваться антивирусами, AlphaLocker легко избегает детектирования.

Авторы зловреда периодически выпускают обновления, призванные отсрочить попадание AlphaLocker в базы сигнатурных систем защиты от вредоносного ПО. «Хотя это распространенная среди вирусописателей практика, нас удивляет, как хакеры умудряются быть на шаг впереди сигнатурных технологий детектирования», — пишет Уолтер. Новости о появлении AlphaLocker появились буквально через несколько дней после того, как ФБР выпустило предупреждение для жертв вымогателей, призывая их не платить выкуп.

Одна из организаций, пострадавших в результате атак, — предприятие коммунального хозяйства Board of Water & Light (BWL) в городе Лансинг, штат Мичиган. На то, чтобы практически полностью восстановить работу после кибератаки, парализовавшей его системы, учреждению понадобилось 12 дней.

Представители организации через Facebook уведомили население о том, что управление стало жертвой вымогателя, попавшего в компьютеры учреждения в результате фишинговой атаки. По сведениям местной газеты, сотрудники потратили три часа на каждый компьютер, чтобы провести полное сканирование и не допустить возвращения криптоблокера. К пятнице работа учреждения должна была быть полностью восстановлена.

Read Full Article