Ранее неизвестная программа-вымогатель ARCrypter, которая скомпрометировала ключевые организации в Латинской Америке, теперь расширяет свои атаки по всему миру.
Исследователи в своем новом отчете связали ARCrypter с атакой на госучреждение Чили в октябре , которая привела к приостановке работы ведомства.
По словам экспертов The BlackBerry Research and Intelligence Team , ARCrypter в настоящее время расширяет свою деятельность за пределами Латинской Америки и нацелен на различные организации по всему миру, в том числе в Китае, Канаде, Германии, США и Франции.
Требования выкупа в каждом случае варьируются и достигают $5000. Эксперты объясняют это тем, ARCrypter является программой-вымогателем среднего уровня.
BlackBerry сообщает, что первые образцы ARCrypter появились в начале августа 2022 года, за несколько недель до атаки в Чили.
Вектор атаки остается неизвестным, но аналитики смогли найти 2 URL-адреса AnonFiles, которые используются в качестве удаленных серверов для получения архива «win.zip», содержащего исполняемый файл «win.exe».
Страница загрузки исполняемого файла «win.exe»
Исполняемый файл представляет собой файл-дроппер, содержащий ресурсы BIN и HTML. HTML содержит записку о выкупе, а BIN включает в себя зашифрованные данные, для которых требуется пароль.
Если пароль указан, BIN-файл создает на скомпрометированном устройстве случайный каталог для хранения полезной нагрузки второго этапа ARCrypter, которая создает собственный раздел реестра для сохранения постоянства в системе.
Полезная нагрузка в каталоге на устройстве. Название нагрузки состоит из случайного набора букв и цифр.
Затем ARCrypter удаляет все теневые копии томов, чтобы предотвратить восстановление данных, изменяет сетевые настройки для обеспечения стабильного подключения, а затем шифрует файлы, кроме определенных типов.
Типы файлов, исключенные из шифрования
Файлы в папках «Загрузки» и «Windows» также пропускаются, чтобы не сделать систему полностью непригодной для использования.
Помимо расширения «.crypt», зашифрованные файлы отображают сообщение «ALL YOUR FILES HAS BEEN ENCRYPTED».
Зашифрованные файлы
Примечательно, что вымогатели утверждают, что они крадут данные во время своих атак, но у них нет сайта утечки для публикации украденных файлов.
В настоящее время операторах ARCrypter почти ничего не известно – их происхождение, язык и потенциальные связи с другими группировками.
Источник: SecurityLab