Исследователи сумели взломать управляющий сервер шифровальщика Radamant

Исследователи сумели взломать управляющий сервер шифровальщика Radamant

Автору шифровальщика Radamant определенно не везет. В декабре минувшего года эксперт Emsisoft Фабиан Восар (Fabian Wosar) уже взломал шифрование вымогателя и представил бесплатный инструмент для восстановления информации, чем вызвал гнев злоумышленника.

Теперь исследовали компании InfoArmor и вовсе сумели взломать командный сервер малвари, заставив его инициировать процесс расшифровки данных, хотя жертвы не заплатили выкуп.

Впервые шифровальщик Radamant был замечен в декабре 2015 года. Существуют две версии Radamant: v1 изменяет расширение файлов на .RDM, а v2 на .RRK. Хотя на форуме Bleeping Computer сообщают также о версии, переименовывающей файлы в .RDD.

После того как Восар успешно взломал шифрование обеих версий и разозлил автора малвари, тот исправил вторую версию, в январе 2016 года представив вариант, названный radamantv2.1_emisoft_bleeped. Эта вариация тоже изменяет расширение файлов на .RKK, но автор вредоноса сменил метод шифрования, так что инструмент Восара работает против него уже далеко не всегда, сообщает xakep.ru.

Специалисты InfoArmor, в отличие от Восара, не стали трогать шифрование. Они выяснили, что справиться с шифровальщиком можно при помощи SQL-инъекции. Radamant шифрует каждый файл уникальным ключом AES-256, а затем шифрует его с использованием мастер ключа RSA-2048, который внедряется в хедер каждого файла. Данный мастер ключ отправляется на контрольный сервер малвари, где хранится в MySQL базе. Как только жертва выплатила выкуп, оператор вредоноса отсылает ей мастер ключ RSA и инструмент для расшифровки данных. Для удобства управления «бизнесом», оператор Radamant использует доступную извне панель управления.

 

До и после. Исследователи изменили «статус оплаты» жертвы

radamant

 

Эксперты InfoArmor обнаружили, что коммуникации между контрольной панелью и БД позволяют осуществить SQL-инъекцию. Воспользовавшись этим методом, можно изменить статус выплаты выкупа, заставив управляющий сервер поверить, что жертва уже заплатила, и автоматически выслать ей инструмент для расшифровки информации. Также исследователи отмечают, что используя все ту же банальную SQL-инъекцию, можно извлечь из БД злоумышленника вообще всю содержащуюся там информацию.

InfoArmor также стало известно, что автор Radamant ведет работу над новой малварью — KimChenIn Coin Kit, которая ворует криптовалюту из Bitcoin Core, LiteCoin Core, Dash Core, NameCoin Core и Electrum-BTC/LTC/Dash.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Шифровальщик PE32 атакует бизнес в России: выкуп до $150 000

В феврале 2025 года российский малый и средний бизнес столкнулся с новой киберугрозой — программой-вымогателем PE32. Новый шифровальщик требует выкуп в размере от 500 до 150 000 долларов США в биткоинах (50 000 – 15 000 000 рублей по текущему курсу) за расшифровку данных.

Об этой киберугрозе сообщили криминалисты F6 в своем блоге.

  • Цель: Вымогательство денег у организаций.
  • Жертвы: Российские компании малого и среднего бизнеса.
  • Метод атаки: Проникновение через скомпрометированные службы удаленного доступа.
  • Технологии: Разработан на языке программирования Rust, использует трехраундовое шифрование файлов, а также является одной из первых программ-вымогателей, использующих постквантовую криптографию.
  • Особенности: В отличие от большинства шифровальщиков, атакующие не похищают данные жертв, а взаимодействие с пострадавшими ведут через электронную почту и Telegram. Контактные данные преступников также используются в других партнерских программах.

С 2022 года количество атак программ-вымогателей в России неуклонно растет, при этом значительная часть группировок имеет проукраинские или ближневосточные корни. Восточные партнерские программы, такие как Mimic, Proton/Shinra, Proxima, Enmity/Mammon, LokiLocker/BlackBit, RCRU64, HardBit, Sauron, TeslaRVNG и другие, продолжают атаковать российские организации.

В 2024 году зафиксирован тренд перехода шифровальщиков на атаки Linux-систем наряду с традиционными атаками на Windows. Например, партнерская программа Proxima/BlackShadow адаптировала свои инструменты для Linux. В августе 2024 года появилась новая версия Enmity — программа Mammon, использующая двухпроходное шифрование.

PE32 стал первым выявленным персидским шифровальщиком, разработанным на Rust. Однако он не является первой программой-вымогателем на этом языке, использованной для атак в России — ранее была обнаружена программа Muliaka, предназначенная для атак на виртуальные среды ESXi.

Первые атаки PE32 зафиксированы в середине февраля 2025 года. Исследователи F6 обнаружили, что номера версий шифровальщика (4.0.1 и 4.1.1) указаны в коде вредоносных программ. Более ранние версии PE32 загружались на VirusTotal еще с 4 января 2025 года через анонимные сети Tor и VPN. Специалисты полагают, что таким образом разработчик тестировал уровень детектирования своего софта антивирусными решениями и совершенствовал его защиту от обнаружения.

Рекомендации по защите Чтобы минимизировать риск заражения, экспертное сообщество рекомендует:

  • Использовать многофакторную аутентификацию (MFA) для защиты удаленного доступа.
  • Обновлять системы и программное обеспечение до актуальных версий.
  • Проводить регулярные резервные копирования данных и хранить их в изолированных средах.
  • Ограничить доступ к критически важным системам и мониторить подозрительную активность в сети.

Кибератаки с применением шифровальщиков становятся все более изощренными, а преступники продолжают совершенствовать свои инструменты. Важно своевременно принимать меры защиты, чтобы избежать финансовых и репутационных потерь.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru