Программа-вымогатель AlumniLocker

Исследователи Infosec обнаружили новую мощную угрозу вымогателей, основанную на ранее обнаруженной программе-вымогателе Thanos (Tycoon). Этот новый вариант Thanos Ransomware называется AlumniLocker Ransomware, и он демонстрирует некоторые необычные характеристики, которые могут свидетельствовать о том, что группа, ответственная за него, все еще довольно неопытна в проведении кампаний атак с использованием программ-вымогателей.

 В качестве исходного вектора взлома AlumniLocker использует фишинговые электронные письма, содержащие поврежденные вложения в формате PDF. Текст сообщения электронной почты и прикрепленный файл напоминают важный счет-фактуру в попытке побудить целевого пользователя открыть файл как можно быстрее. В поддельном PDF-файле счета-фактуры пользователи найдут ссылку, при нажатии которой на их компьютеры будет перетаскиваться ZIP-архив, содержащий загрузчик.

 Затем полезные данные AlumniLocker извлекаются и выполняются сценарием PowerShell, замаскированным под файл JPG. Метод запуска программы-вымогателя использует модуль фоновой интеллектуальной передачи службы (BITS). После развертывания угроза зашифрует файлы жертвы и добавит «.alumni» к их исходным именам в качестве нового расширения. По завершении процедуры шифрования будет сгенерирован текстовый файл, содержащий инструкции для жертвы.

Вот когда появляется первая особенность программы-вымогателя AlumniLocker. Судя по всему, киберпреступники хотят получить сумму в 10 биткойнов, если они хотят отправить своим жертвам средство дешифрования. Цена биткойнов печально известна своей волатильностью, но по текущему курсу 10 биткойнов стоят более 500000 долларов - сумма, которую просто валяют у немногих людей или даже организаций. Хакеры, похоже, тоже имеют некоторое представление об этой реальности, поскольку у них также есть план резервного копирования для шантажа. Жертв предупреждают, что если они не заплатят выкуп в течение 48 часов, информация, полученная из системы, взломанной AlumniLocker, будет опубликована на специально созданном веб-сайте. Однако переход по ссылке показывает, что на момент обнаружения AlumniLocker веб-сайт был недоступен.

 Непомерный выкуп в сочетании с нефункциональным сайтом утечки - это признаки того, что хакерская группа, стоящая за AlumniLocker, может быть в зачаточном состоянии.