Magniber
Программа-вымогатель Magniber постоянно распространяется в больших объемах. В течение последних нескольких лет она распространялась через уязвимость IE (Internet Explorer), но после прекращения поддержки браузера перестала ее использовать. В последнее время вымогатель распространяется с именами файлов
Группа анализа угроз Google (TAG) недавно опубликовала анализ программы Magniber которая использовала непропатченную технику обхода безопасности, чтобы обойти функцию безопасности Microsoft SmartScreen.6 Угрожающий агент отправлял MSI-файл, подписанный уникальным сфабрикованным, недействительным Authenticode
Использование наборов эксплойтов (EK) снижается с конца 2016 года, однако определенная активность остается постоянной. Magnitude Exploit Kit - один из таких примеров, который продолжает воздействовать на пользователей, особенно в регионе АТР.
Сайт, который в настоящее время распространяет Magniber, использует метод обхода, о котором команда рассказывала здесь в прошлом, когда блокировки доменов, использующие MOTW (Mark of the Web), обходятся путем добавления данных для загрузки в тег <a>.
Утром 28 января аналитическая группа ASEC обнаружила распространение Magniber, замаскированного под обычные установщики Windows (MSI). Распространяемые файлы Magniber имеют расширение MSI, маскируясь под файлы обновлений Windows.
Ранее известная как преемница Cerber, программа Magniber ransomware распространялась в основном через набор эксплойтов Magnitude и в 2017 году была нацелена исключительно на Южную Корею. В 2018 году он расширил свои цели по всей Азии, используя CVE-2018-8174 для первоначального доступа.
7 ноября аналитическая группа ASEC представила в своем блоге сообщение о программе Magniber ransomware, которая пыталась обойти MOTW (Mark of the Web). После этого, используя данные, оставленные в Zone.Identifier, мы провели расследование источников, использованных для распространения Magniber.
Команда аналитиков ASEC загрузила 25 октября сообщение, в котором проинформировала пользователей об изменениях, внесенных в программу Magniber ransomware. Magniber, который все еще активно распространяется, претерпел множество изменений, чтобы обойти обнаружение антивирусного ПО.
В последние годы атаки вымогательского ПО "Big Game Hunting" на предприятия доминировали в заголовках СМИ из-за их громких жертв и значительных требований выкупа. Однако ransomware для одного клиента - тип ransomware, заражающий отдельные компьютеры, а не целые группы устройств - все еще может нанести
IOC
Недавно 360 Security Center обнаружили новую Magniber Ransomware атаку на систему Windows 11. С 25 мая объем ее атак значительно увеличился, и имена основных пакетов распространения также были обновлены, например: win10-11_system_upgrade_software.msi, covid.warning.readme.xxxxxxxx.msi и т.д.