Обнаружен вирус-вымогатель BlackCat, использующий вредоносные ядра Windows
23 мая 2023 г.Операторы программ-вымогателей, известные как BlackCat или ALPHV, были замечены с использованием обновленной версии известной вредоносной программы. , что позволяет им повышать привилегии на целевых конечных точках и прекращать работу любых антивирусов или решений по обеспечению безопасности конечных точек, которые могут быть запущены на компьютере.
Эта новость предоставлена исследователями Trend Micro, обнаружившими обновленное вредоносное ПО.
По словам исследователей, это вредоносное ПО известно как "POORTRY". Впервые он был обнаружен в конце прошлого года, когда исследователи из Microsoft, Mandiant, Sophos и SentinelOne увидели, что POORTRY используется для отключения антивирусных программ в рамках подготовки к развертыванию программы-вымогатели. Тогда выяснилось, что POORTRY — это драйвер ядра Windows, подписанный ключами, украденными из подлинных учетных записей Microsoft Windows Hardware Developer Program.
Атаки на десятки компаний
Однако, поскольку ключи для подписи кода вскоре были отозваны, а вредоносное ПО получило широкое освещение в прессе, большинство антивирусных программ начали обнаруживать его, что побудило злоумышленников установить обновление. Исследователи говорят, что теперь эта новая версия подписана с использованием украденного или просочившегося сертификата перекрестной подписи.
Цель остается прежней — повысить привилегии на целевой конечной точке и завершить любые процессы, связанные с этим. к антивирусным программам и системам кибербезопасности.
> Возможно, программа-вымогатель Clop заразила даже больше жертв, чем считалось ранее< /strong>
> Саксы Пятая авеню стала очередной жертвой программы-вымогателя Clop
> Познакомьтесь с лучшими инструментами брандмауэра прямо сейчас
Помимо использования для завершения любых системных процессов, драйвер также может использоваться для удаления определенных путей к файлам, принудительного копирования и принудительного удаления файлов, копирования файлов, регистрации и отмены регистрации процессов и даже перезагрузки системы. Стоит также отметить, что не все эти функции работают должным образом, что заставляет исследователей полагать, что вредоносное ПО все еще находится в стадии разработки или тестирования.
Группа, которая использовала оригинальное вредоносное ПО POORTRY, была идентифицирована как UNC3944, также известная как 0ktapus или Scattered Spider. Эта новая версия используется BlackCat (ALPHV). Хотя трудно сделать окончательный вывод, исследователи намекают, что между двумя группами может существовать «слабая связь».
- Это лучшие инструменты защиты конечных точек прямо сейчас.
Через: BleepingComputer
Оригинал