Пара зловредов HermeticRansom-HermeticWiper использовалась в кибератаках на Украине


Пара зловредов HermeticRansom-HermeticWiper использовалась в кибератаках на Украине

  • 09-03-2022 11:27:20   | Армения  |  Новости науки и технологии

 
Представительство «Лаборатории Касперского» в Армении. Исследователи «Лаборатории Касперского» проанализировали зловред HermeticRansom, известный также как Elections GoRansom, выяснив, что по большому счету, это достаточно несложный шифровальщик. По их мнению, атакующие применяли его с целью проведения отвлекающего маневра.
 
«HermeticRansom атаковал компьютеры одновременно с другим стирающим данные зловредом, известным как HermeticWiper — и судя по информации, собранной сообществом экспертов информационной безопасности, использовался в недавних кибератаках на Украине. Сравнительная простота и не самая эффективная имплементация зловреда говорит о том, что HermeticRansom применяли в качестве «дымовой завесы» для атак HermeticWiper»,- отмечают эксперты компании.
 
Они поясняют, что, попав на компьютер жертвы, HermeticRansom для начала идентифицирует жесткие диски и собирает список директорий и файлов, расположенных везде, кроме корневых папок Windows и Program Files. Затем он шифрует файлы определенных категорий и переименовывает их, присоединяя к названию метку .encrypted и почтовый адрес вымогателей. Также зловред создает в папке Desktop файл read_me.html с запиской о выкупе и контактами злоумышленников.
 
HermeticRansom написан на языке Golang. В нем не используются никакие механизмы обфускации, а сам применяемый метод шифрования достаточно громоздок и малоэффективен. Как считают эксперты, судя по этим и некоторым другим признакам, зловред создавался в спешке.
 
Более подробный технический разбор зловреда можно прочитать здесь – https://securelist.com/elections-goransom-and-hermeticwiper-attack/105960/. 
 
Представительство компании «Лаборатория Касперского» в Армении
 
 
  -   Новости науки и технологии