אנסיילו מזהה אופי פעולה דומה בין תוכנת הכופר GlobeImposter לנוזקת LockPos

במהלך דצמבר 2017 זוהתה בפעם הראשונה גרסה חדשה של תוכנת הכופר GlobeImposter, ודווח עליה ב-Malware-traffic-analysis. במבט ראשון, תוכנת כופר זו נראית דומה מאוד לתוכנות כופר המשתמשות בטכניקה ידועה הנקראת process hollowing.

בחינה מדוקדקת יותר שבוצעה על ידי אלון הדר ובר פרנקו – חוקרים במרכז המו"פ בהרצליה של סטארט-אפ הסייבר אינסיילו מראה כי בדומה ל- LockPos, אשר נותחה על ידי Cyberbit, גם הממצא החדש עוקף  user-mode hooks – טכניקה הנמצאת בשימוש של מוצרי אבטחת מידע רבים, ומתבססת על פניה ישירה לליבה (kernel) כדי לזהות קוד זדוני וכלי פריצה. מכיוון ששיטת עקיפה זו משמשת עוד ועוד נוזקות, ייתכן והיא התחלת מגמה של נוזקות המנסות לעקוף מוצרי אבטחה הפועלים ב- user-mode. 

לפי חוקרי אינסיילו, תוכנה הכופר מופצת אל הקורבנות ברחבי העולם באמצעות Necurs, שהיא רשת הבוטנט הגדולה ביותר באינטרנט להפצת הודעות ספאם. הקוד הזדוני מופץ על גבי הודעות זדוניות עם קובץ ZIP המכיל כלי הורדה (Downloader) ב- JavaScript. 

תוכנת הכופר מציעה למשתמש לשחרר מהצפנה קובץ אחד בחינם כדי להוכיח שהתהליך עובד. ההודעה מציינת כי "לפני שאתה משלם אתה יכול לשלוח אלינו קובץ אחד לשחרור בחינם מהצפנה". 

אולי יעניין אותך גם

By Spc. Micah E. Clare, U.S. Army - This image was released by the United States Army with the ID 070930-A-2013C-254 (next). Public Domain, https://commons.wikimedia.org/w/index.php?curid=4556991

דיווח: רק"מי M1117 ראשונים הגיעו לאוקראינה מארה"ב

רק"מים אלו הינם חלק מחבילת הסיוע הצבאי האמריקאית בשווי של 400 מיליון דולרים שהוכרז עליה בחודש נובמבר 2022