Обнаружен использующий вредоносные ядра Windows вирус-вымогатель BlackCat

Операторы программ-вымогателей, известных как BlackCat или ALPHV, использовали обновленную версию известного вредоносного ПО. Оно позволяет им повышать привилегии на целевых конечных точках и отключать любые антивирусные решения или решения по обеспечению безопасности конечных точек, которые могут быть запущены на компьютере.

Обнаружен использующий вредоносные ядра Windows вирус-вымогатель BlackCat. Фото: СС0

Об угрозе сообщили исследователи Trend Micro, обнаружившие обновленное вредоносное ПО. По их словам, вредоносное ПО известно как POORTRY. Впервые зловред был обнаружен в конце прошлого года, когда исследователи из Microsoft, Mandiant, Sophos и SentinelOne увидели, что он используется для отключения антивирусных программ в рамках подготовки к развертыванию программ- вымогателей. Тогда было обнаружено, что POORTRY был драйвером ядра Windows, подписанным ключами, украденными из подлинных учетных записей Microsoft Windows Hardware Developer Program.

Поскольку ключи для подписи кода вскоре были отозваны, а информация об вредоносном ПО публично озвучена, большинство антивирусных программ начали обнаруживать его, побуждая злоумышленников обновиться. Исследователи говорят, что теперь эта новая версия подписана с использованием украденного или просочившегося сертификата перекрестной подписи.

Цель все та же — повысить привилегии на целевой конечной точке и завершить любые процессы, связанные с антивирусными программами и системами кибербезопасности.

Помимо завершения любых системных процессов, драйвер также может использоваться для удаления определенных путей к файлам, принудительного копирования и принудительного удаления файлов, копирования файлов, регистрации и отмены регистрации процессов и даже перезагрузки системы. Стоит также отметить, что не все эти функции работают должным образом, что заставляет исследователей полагать, что вредоносное ПО все еще находится в стадии разработки или тестирования.

Группа, которая использовала оригинальное вредоносное ПО POORTRY, была идентифицирована как UNC3944, также известная как 0ktapus или Scattered Spider. Эта новая версия используется BlackCat (ALPHV). Хотя трудно сделать окончательный вывод, исследователи намекают, что между двумя группами может существовать «слабая связь».

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме