Cybereason выпустила отчет Threat Analysis, в котором рассматривается новая угроза Ransomware-as-a-Service (RaaS), известная как PlayBoy Locker.
Описание
Эта платформа позволяет менее опытным киберпреступникам осуществлять атаки ransomware, предоставляя им полный набор инструментов, включая различные варианты создания двоичных файлов ransomware для разных операционных систем. Множество провайдеров RaaS на темной паутине работает по партнерской модели, распределяя прибыль с партнерами, что делает ransomware доступным для более широкой аудитории злоумышленников, не обладающих достаточными навыками для самостоятельной разработки вредоносного ПО.
PlayBoy Locker RaaS также предлагает частые обновления, функции защиты от обнаружения и даже поддержку аффилированных лиц. Разработчики RaaS могут предоставлять рекомендации по максимизации количества заражений и обновления для обхода антивирусных программ и средств обнаружения конечных точек. Это создает более профессиональную экосистему и повышает уровень угрозы атак ransomware.
Группа PlayBoy Locker начала активные операции в сентябре 2024 года, представив свою партнерскую программу, в рамках которой они предлагают делиться доходом с оператором сервиса. В то же время они выпустили рекламный ролик в темной паутине, чтобы продать свой проект, который затем был продан и закрыт.
PlayBoy Locker для операционной системы Windows обладает различными возможностями, включая шифрование файлов, удаление теневых копий, перезагрузку системы и многие другие. Кроме того, есть версии PlayBoy Locker для NAS и ESXi, каждая из которых имеет свои уникальные функции. Для данного ransomware также доступен веб-конструктор, который демонстрирует возможность полностью автоматизировать создание вредоносных программ.
Анализ бинарного файла ransomware показывает, что PlayBoy Locker использует различные векторы атаки, такие как фишинговые письма и компрометацию удаленных рабочих столов (RDP). Используя протокол LDAP, программа автоматически сканирует сеть в поисках доступных машин и копирует исполняемый файл ransomware, устанавливая службу Windows для его запуска на удаленном устройстве.
Indicators of Compromise
SHA256
- 3030a048f05146b85c458bcabe97968e5efdd81b224b96c30c83b74365839e7b
- a9e1bd8f9cbeeec64da558027f380195f7ed572f03830a890dd0494e64d98556
