Ransomware IOCs

security IOC

Правительственная группа реагирования на инциденты компьютерной безопасности Чили, CSIRT, сообщает об инциденте, затронувшем в четверг 25 августа одну из правительственных служб, в результате которого была нарушена работа ее систем и онлайн-сервисов.

Судя по IOC данный тип ПО относится к TrojanRansom.Conti

Характер инцидента связан с вымогательским ПО, которое поразило серверы Microsoft и VMware ESXi в корпоративных сетях учреждения.

Рассматриваемая программа-вымогатель способна остановить все запущенные виртуальные машины и зашифровать файлы, связанные с виртуальными машинами.

В результате заражения файлы приобретают расширение ".crypt". Впоследствии злоумышленник получает полный контроль над системой жертвы и оставляет сообщение о выкупе, в котором сообщает объем похищенных данных, предлагает канал связи и конкретный ID для связи с ним. Злоумышленник дает трехдневный срок для связи, в противном случае угрожает сделать данные недоступными для организации и выставить эти активы на продажу третьим лицам в дарквебе.

Программа-вымогатель использует алгоритм шифрования с открытым ключом NTRUEncrypt, нацеленный, в частности, на файлы журналов (.log), исполняемые файлы (.exe), файлы динамических библиотек (.dll), файлы подкачки (.vswp), виртуальные диски (.vmdk), файлы моментальных снимков (.vmsn) и файлы памяти (.vmem) виртуальных машин.

Таким образом, вредоносная программа, создавшая ransomware, также обладает характеристиками infostealer:

  • Крадет учетные данные из браузеров.
  • Перечисление устройств для извлечения, таких как жесткие диски и перьевые накопители
  • Он обладает возможностями антивирусного обхода с таймаутом.

Indicators of Compromise

SHA256

  • 39b74b2fb057e8c78a2ba6639cf3d58ae91685e6ac13b57b70d2afb158cf742d
  • ac73234d1005ed33e94653ec35843ddc042130743eb6521bfd3c32578e926004
  • c42834ac1c8efc19c44024f1e4960c5a9aaab05dc9fceb0d1596ffe0c244f5f2
SEC-1275-1
Добавить комментарий