Termite Ransomware IOCs

ransomware IOC

Штамм Termite ransomware , который атаковал платформу управления цепочками поставок Blue Yonder, оказался новым вариантом программы Babuk. Исследователи обнаружили, что Termite является ребрендингом Babuk. На сайте утечки Termite уже зарегистрировано семь жертв.

Termite Ransomware

При запуске программы Termite вызывает API SetProcessShutdownParameters(0, 0), что позволяет ей завершиться последней при выключении системы. Затем она пытается завершить работу служб на компьютере жертвы, включая такие службы, как veeam, vmms и memtas. После этого программа удаляет все теневые копии с помощью процесса vssadmin.exe и очищает корзину с помощью API SHEmptyRecycleBinA(). Она также собирает системную информацию с помощью API GetSystemInfo().

Далее Termite создает отдельный поток для каждого процессора и генерирует записку с выкупом под названием "How To Restore Your Files.txt", предлагая жертвам посетить сайт onion для получения дополнительной информации. Затем программа шифрует файлы на компьютере жертвы, исключая при этом системные папки и файлы. Шифрование сопровождается добавлением расширения ".termite" к зашифрованным файлам.

Termite ransomware может также распространяться через сетевые ресурсы и пути зараженной машины. Если указан аргумент командной строки "shares", программа использует API NetShareEnum() для поиска общих сетевых ресурсов и шифрования файлов на них. Если указан аргумент "paths", программа использует API GetDriveTypeW() для определения сетевых дисков и шифрует файлы на них. Если ни один из этих аргументов не указан, программа рекурсивно обходит все локальные диски и шифрует файлы.

Termite ransomware также имеет схожие характеристики с Babuk, включая добавление маркера "choung dong looks like hot dog" в конце зашифрованных файлов. Уже зарегистрированы семь жертв атаки на Blue Yonder, однако возможно, что число жертв может увеличиться.

Indicators of Compromise

SHA256

  • f0ec54b9dc2e64c214e92b521933cee172283ff5c942cf84fae4ec5b03abab55
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий