WastedLocker Ransomware lyö nyt kotitoimiston työntekijöitä

Uusi haittaohjelman huijaus on tullut etualalle, tällä kertaa räätälöity lakkamaan erityisesti kotitoimiston työntekijöitä. Ei ole yllättävää, jos otetaan huomioon, että melkein 2/3 kaikista Yhdysvaltain työntekijöistä on tällä hetkellä jumissa kotona tekemässä kaukaista työtä meneillään olevan Covid-19-pandemian vuoksi. Miljoonat kotityöntekijät ovat joutuneet törkeän ransomware- uhkan, nimeltään WastedLocker . Evil Corp cybergangiin liittyvä Wasted Locker on tiettävästi osunut tähän mennessä kymmeniin yrityksiin ja metsästää nyt VPN-liitettyjä koti-PC-käyttäjiä.

Monitasoinen tartunta JavaScript-kehyksen kautta

WastedLocker-ransomware-tartunnan istuttamiseksi kohdennettuun laitteeseen vastaavien toimijoiden on ohjattava verkkokäyttäjät vaarantuneelle verkkosivustolle, joka sisältää ns. SocGholish - JavaScript-kehys, joka on täynnä haitallista koodia - joka yleensä naamioidaan väärennetyksi ohjelmistopäivitykseksi. .zip-arkisto. Kun se on suoritettu, SocGholish JavaScript käynnistää toisen JS-komponentin wscript.exe-komentosarjan isännän kautta kerätäksesi tietoja tietokoneesta. Sitten se käyttää PowerShelliä lataamaan Cobalt Strike -työkalun yhdessä .NET-injektorin kanssa. Edellinen tarjoaa järjestelmän luvattoman käytön. Jälkimmäinen pystyy suorittamaan haitalliset hyötykuormat suoraan järjestelmän muistiin ja siten välttämään päätepisteen suojauksen. Molemmat työkalut toimittavat lopulta Cobalt Strike Beacon -kuorman. Majakka toimii ensisijaisena käyttöpaneelina muille koodin lisäyksille, komentojen suorittamisille ja etuoikeuksien eskalaatioille.

Tällä viikolla haittaohjelmien jaksossa 13 osa 1: Evil Corp -hakkerit estetty ottamasta WastedLocker Ransomware -ohjelmaa

Ennen kuin he käynnistävät todellisen WastedLocker-lunnasohjelmatartunnan, roistot manipuloivat Windows Defenderin asetuksia estääkseen reaaliaikaisia tarkistuksia ja valvontaa. Seuraavaksi he käyttävät PsExec-komentorivityökalua suorittamaan hyvin WastedLocker-hyötykuorman.

Salaus

Käynnistyksen jälkeen WastedLocker alkaa salata uhrin tietoja. Se poistaa myös kaikki järjestelmässä olevat varjoisat kopiot. Loppujen lopuksi hyökkäys lamauttaa käyttäjän verkon ja aiheuttaa vakavia esteitä heidän työnkululleen. Vaikka vaaditun lunnaiden tarkkaa määrää ei tunneta, Evil Corp: n roistot ovat väitetysti ansainneet miljoonia dollareita. He tekivät niin keskittämällä ponnistelunsa suuryrityksille kuuluvien verkkosivustojen vaarantamiseksi koko liiketoiminta-alueella Yhdysvalloissa. Toistaiseksi eniten kohdistetut yritykset ovat peräisin teollisuudesta, jota seuraavat IT-ala sekä media ja televiestintä.