WastedLocker Ransomware trafia teraz do pracowników biur domowych

Na pierwszy plan wysunęło się nowe oszustwo w postaci złośliwego oprogramowania, tym razem skierowane w szczególności na pracowników biur domowych. Nic dziwnego, jeśli weźmie się pod uwagę, że prawie 2/3 wszystkich pracowników w USA utknęło obecnie w domu, wykonując pracę na odległość z powodu trwającej pandemii Covid-19. Teraz miliony pracowników domowych stoją w obliczu paskudnego zagrożenia ransomware o nazwie WastedLocker . Powiązany z cybergangiem Evil Corp , Wasted Locker podobno do tej pory uderzył w dziesiątki firm, a teraz poluje na użytkowników domowych komputerów PC podłączonych do VPN.

Infekcja wielopoziomowa za pośrednictwem środowiska JavaScript

Aby umieścić infekcję ransomware WastedLocker na docelowym urządzeniu, odpowiedzialni za nią aktorzy muszą przekierowywać użytkowników sieci Web do zaatakowanej witryny internetowej zawierającej tak zwaną SocGholish - strukturę JavaScript pełną złośliwego kodu - zwykle podszywającą się pod fałszywą aktualizację oprogramowania w archiwum .zip. Po uruchomieniu SocGholish JavaScript uruchamia inny komponent JS za pośrednictwem hosta skryptów wscript.exe, aby zebrać szczegółowe informacje o komputerze. Następnie wdraża PowerShell, aby pobrać narzędzie Cobalt Strike wraz z wtryskiwaczem .NET. Pierwsza z nich zapewnia nieautoryzowany dostęp do systemu. Ten ostatni jest zdolny do wykonywania złośliwych ładunków bezpośrednio w pamięci systemowej, omijając w ten sposób ochronę punktów końcowych. Oba narzędzia ostatecznie dostarczają ładunek Cobalt Strike Beacon. Beacon służy jako główny panel operacyjny dla wszelkich dalszych wstrzyknięć kodu, wykonywania poleceń i eskalacji uprawnień.

W tym tygodniu w odcinku 13 złośliwego oprogramowania, część 1: Hakerzy zła korporacji zablokowani przed wdrażaniem ransomware WastedLocker

Przed wywołaniem rzeczywistej infekcji ransomware WastedLocker oszuści manipulują ustawieniami programu Windows Defender, aby uniemożliwić mu skanowanie i monitorowanie w czasie rzeczywistym. Następnie wdrażają narzędzie wiersza poleceń PsExec w celu wykonania samego ładunku WastedLocker.

Szyfrowanie

Po uruchomieniu WastedLocker zaczyna szyfrować dane ofiary. Usuwa również wszelkie kopie woluminów w tle obecne w systemie. W końcu atak uszkadza sieć użytkownika i powoduje poważne utrudnienia w przepływie pracy. Chociaż dokładna kwota żądanego okupu pozostaje nieznana, oszuści z Evil Corp rzekomo zarobili miliony dolarów. Zrobili to, koncentrując swoje wysiłki na atakowaniu stron internetowych należących do dużych korporacji w całym spektrum biznesowym w Stanach Zjednoczonych. Jak dotąd najczęściej atakowane firmy pochodzą z branży produkcyjnej, a następnie ze sfery IT oraz mediów i telekomunikacji.