Kadavro Vector Ransomware IOCs

ransomware IOC
Опубликовано

Лаборатория FortiGuard Labs недавно столкнулась с программой-выкупом под названием "Kadavro Vector", вариантом NoCry ransomware, которая шифрует файлы на взломанных машинах и требует выкуп в криптовалюте Monero (XMR) за расшифровку файлов.

Kadavro Vector Ransomware

Последние варианты вымогательского ПО Kadavro Vector распространяются в виде поддельного установщика браузера Tor и включают иконку браузера Tor под названием "torbrowser-install-win64-12.0.4_ALL.exe".

После запуска Kadavro Vector ransomware шифрует файлы на зараженных машинах и добавляет к ним расширение ".vector_".

Затем Kadavro Vector ransomware выводит на рабочий стол жертвы интерактивную записку с требованием выкупа и требует 250 долларов Монеро за расшифровку файла. Записка с требованием выкупа доступна на английском и русском языках, она также доступна на норвежском языке. Это, вероятно, означает, что злоумышленник нацелился в первую очередь на регионы, где используются эти языки. На сегодняшний день образцы вымогательского ПО Kadavro Vector были публично представлены из США, России и Казахстана.

При нажатии на кнопку "Показать зашифрованные файлы" появляется всплывающее окно со списком файлов, которые зашифровала программа-вымогатель, что, вероятно, оказывает давление на жертву, показывая количество пострадавших файлов, которые не будут восстановлены, если не заплатить выкуп.

Еще одно всплывающее окно с адресом электронной почты злоумышленника появляется после нажатия кнопки "Связаться с нами".

Жертвам дается четыре попытки правильно ввести ключ расшифровки, который якобы будет предоставлен после уплаты выкупа. Окно расшифровки предупреждает, что после четырех попыток зашифрованные файлы будут потеряны.

На основании признаков, обнаруженных в недавней ransomware Kadavro Vector, FortiGuard Labs смогли отследить ее до более старого варианта (SHA2: b7ca2dde7789da13d1b8729cc2ef3d5dc596cbd710a06c17ff6eb4ef2d9d1182) от начала 2023 года, который может быть первоначальным вариантом, называющим себя "Kadavro".

Более старый вариант Kadavro Vector шифрует файлы (включая себя) на скомпрометированных машинах, как и в последних образцах. Этот более старый вариант добавляет расширение ".tor" вместо расширения ".vector_", используемого текущими вариантами.

b7ca2dde7789da13d1b8729cc2ef3d5dc596cbd710a06c17ff6eb4ef2d9d1182 также заменяет обои рабочего стола.

Хотя в ходе тестирования FortiGuard Labs не наблюдали, чтобы Kadavro ransomware выкидывала записку с требованием выкупа, она видна в ее коде.

В записке содержится ссылка на "Anon Vector", которая, скорее всего, является другой программой-выкупом, которую угрожающий агент ранее использовал или, по крайней мере, пытался использовать.

Мы также обнаружили другую программу-вымогатель под названием "Kadavro" (SHA2: b30ef4dbcc89cd4bf0da3e7787f43e42023ddc2b5f0bb4f24937538e10e17533), которая была представлена на публичном портале неделей ранее. Поскольку оба образца Kadavro были отправлены из США и России, а даты отправки близки, к этому может быть причастен один и тот же агент.

Записка с требованием выкупа, брошенная b30ef4dbcc89cd4bf0da3e7787f43e42023ddc2b5f0bb4f24937538e10e17533, доступна только на английском языке и требует от жертв 160 долларов Монеро за расшифровку файла.

Более того, один из недавних образцов Kadavro Vector ссылается на страницу Pastebin для адреса ngrok. "ngrok" - это легитимный, простой в использовании инструмент обратного прокси, который позволяет разработчикам открывать локальные сервисы для доступа в Интернет. К сожалению, субъекты угроз часто злоупотребляют возможностями ngrok по туннелированию для командно-контрольной связи (C2).

Некоторые из образцов представляют собой XWorm, троянца удаленного доступа (RAT) с возможностями ransomware. Это может указывать на то, что угроза Kadavro Vector ransomware пробовала другие вредоносные программы, поддерживающие шифрование файлов.

Indicators of Compromise

SHA256

  • 124c17b099d8c09db4bd82b5ef3d41cea61727a480abfd56a943208d858ea8cf
  • 2ed272aaa05d80a8504772192d5fc99035e5634e8fc306d0a3e09593c466e969
  • 39308dee3ad1f5ce7ccc3d52b3783db204d12694d6c00ec7ec301ecb73e7c8b6
  • 7694bfd321345364659539de8b4664e5d0cba8bc137b007089c63ec12e32f4d9
  • 8dc6ff90357e8e2d598bebe3240cefabe22054036ec2e2e91377c7125f8f8b89
  • 8ea5398c46a9a53f15d94a6c627ac591aa13bd2f2ac2cd35c9022c8e4dfa43fe
  • a076adcf9a2c8298549c22e5059cc5cd90ddc65abadaec417c3dcc74d9ce484b
  • af19fd4147c2253070e345cfcef86b1236c759911ff6b1ef90955d2e86cb8aa4
  • b30ef4dbcc89cd4bf0da3e7787f43e42023ddc2b5f0bb4f24937538e10e17533
  • b7ca2dde7789da13d1b8729cc2ef3d5dc596cbd710a06c17ff6eb4ef2d9d1182
  • e6e62b3fd2be817c41537b9e3244a40b052e78e826b87c77d1bfdfa1644be199
Похожие записи:
  1. Chaos Ransomware IOCs
  2. Nokoyawa Ransomware IOCs
  3. Roundup Ransomware/Chile Locker IOCs
  4. Ragnar Locker Ransomware IOCs
  5. Mirai, RAR1Ransom, GuardMiner IOCs
FortiGuard Labs Kadavro Vector Ransomware
Добавить комментарий