WastedLocker Ransomware rammer nu hjemmekontoransatte

En ny malware-fidus er kommet i spidsen, denne gang skræddersyet til især hjemmearbejdsmedarbejdere. Ikke overraskende, hvis du overvejer, at næsten 2/3 af alle amerikanske medarbejdere i øjeblikket sidder fast hjemme og laver et fjernt job på grund af den igangværende Covid-19-pandemi. Nu står millioner af hjemmearbejdere over for en grim ransomware-trussel kaldet WastedLocker . Associeret med Evil Corp's cybergang har Wasted Locker efter sigende ramt snesevis af virksomheder til dato og jager nu VPN-forbundne pc'er til hjemmet.

Infektion på flere niveauer gennem en JavaScript-ramme

For at plante en WastedLocker-ransomware-infektion på en målrettet enhed skal de ansvarlige aktører omdirigere webbrugere til et kompromitteret websted, der indeholder den såkaldte SocGholish - en JavaScript-ramme, der er fuld af ondsindet kode - normalt forklædt som en falsk softwareopdatering i en .zip arkiv. Når det er kørt, lancerer SocGholish JavaScript en anden JS-komponent gennem wscript.exe Script Host for at indsamle detaljer om pc'en. Derefter implementerer den PowerShell for at downloade Cobalt Strike-værktøjet sammen med en .NET-injektor. Førstnævnte giver uautoriseret systemadgang. Sidstnævnte er i stand til at udføre ondsindede nyttelast direkte i systemhukommelsen og dermed undgå slutpunktsbeskyttelse. Begge værktøjer leverer i sidste ende nyttelasten Cobalt Strike Beacon. Beacon fungerer som det primære betjeningspanel til eventuelle yderligere kodeinjektioner, kommandoudførelser og privilegiereskaleringer.

Denne uge i malware, afsnit 13, del 1: Evil Corp-hackere blokeret for implementering af WastedLocker-ransomware

Før de udløser den egentlige WastedLocker-ransomware-infektion, manipulerer skurkene med Windows Defenders indstillinger for at forhindre, at den kører realtidsskanninger og overvågning. Dernæst implementerer de PsExec-kommandolinjeværktøjet til at udføre den meget WastedLocker-nyttelast.

Kryptering

Når den er kørt, begynder WastedLocker at kryptere offerets data. Det fjerner også eventuelle kopier af skyggevolumen, der findes på systemet. I sidste ende lammer angrebet brugerens netværk og forårsager alvorlige hindringer for deres arbejdsgang. Mens den nøjagtige mængde af den krævede løsesum forbliver ukendt, har skurkerne hos Evil Corp angiveligt tjent millioner af dollars. De gjorde det ved at koncentrere deres bestræbelser på at kompromittere websteder, der tilhører større virksomheder over hele forretningsspektret i USA. Indtil videre kommer de hyppigst målrettede virksomheder fra fremstillingsindustrien, efterfulgt af IT-området og medier og telekommunikation.