Киберпреступники похитили код вредоносного ПО у своих «коллег»

Исследователи «Лаборатории Касперского» обнаружили новое семейство вредоносных программ PetrWrap, которое использует оригинальный модуль программы-вымогателя Petya, распространяемый через платформу "вредоносное ПО как услуга", для проведения целевых атак против организаций. Авторы PetrWrap создали специальный модуль, который «на лету» модифицирует оригинальную программу-вымогатель Petya, делая ее создателей беспомощными против несанкционированного использования их вредоносного ПО. Это может быть признаком растущей конкуренции на черном рынке программ-вымогателей.

В мае 2016 года «Лаборатория Касперского» обнаружила программу-вымогателя Petya, которая не только шифрует данные, хранящиеся на компьютере, но и перезаписывает главную загрузочную запись жесткого диска (MBR), в результате чего зараженные компьютеры не могут запустить операционную систему. Вредоносная программа является важнейшим примером модели "вредоносное ПО как услуга", когда создатели программ-вымогателей предлагают свой вредоносный продукт «по запросу» через множество распространителей, получая процент от прибыли. Чтобы получить свою долю, авторы Petya внедряли определенные «механизмы защиты» в свои вредоносные программы, которые не позволяли несанкционированно использовать модель Petya. Создатели троянца PetrWrap, действия которых впервые обнаружили в начале 2017 года, смогли преодолеть эти механизмы и нашли способ использовать Petya, не заплатив его авторам ни копейки.

Пока неясно, как распространяется PetrWrap. После заражения ПК PetrWrap запускает Petya для шифрования данных своей жертвы, а затем требует выкуп. Создатели PetrWrap используют собственные закрытые и открытые ключи шифрования вместо тех, что входят в комплект «стандартных» версий Petya. Это значит, что они могут работать, не требуя от операторов Petya ключа для расшифровки компьютера жертвы, если выкуп будет выплачен.

По-видимому, неслучайно разработчики PetrWrap выбрали Petya для своих вредоносных целей: в этом семействе программ-вымогателей присутствует довольно безупречный криптографический алгоритм, который трудно взломать — самый важный компонент любой шифрующей программы-вымогателя. В некоторых случаях ошибки в шифровании позволяли исследователям проблем безопасности найти способ расшифровать файлы и разрушить все усилия преступников. Это случалось и с предыдущими версиями Petya, и с тех пор ее авторы исправили почти все ошибки. Поэтому компьютер жертвы надежно зашифровывается, когда на него попадают последние версии Petya, и понятно, почему авторы PetrWrap решили использовать ее для своих целей. Более того, экран блокировки, который виден жертвам PetrWrap, не отображает никаких упоминаний о Petya, что затрудняет экспертам по безопасности оценку ситуации и не дает быстро определить, какое семейство программ-вымогателей было использовано.

«Теперь мы видим, что злоумышленники начинают истреблять друг друга. С нашей точки зрения, это признак растущей конкуренции между создателями программ-вымогателей. Теоретически это хорошо, потому что чем больше времени преступники тратят на борьбу и обманывают друг друга, тем менее организованными будут они и их злоумышленные кампании. Тревожным фактом здесь является то, что PetrWrap используется для целевых атак. Это не первый случай целевых атак с применением программ-вымогателей и, к сожалению, скорее всего, не последний. Мы призываем организации уделять как можно больше внимания защите своих сетей от такого рода угроз, т.к. их последствия могут быть действительно катастрофическими», — заявил Антон Иванов, старший инженер-исследователь проблем безопасности в «Лаборатории Касперского».

Поделиться с друзьями
ASTERA