WastedLocker обязан своим успехом уникальному механизму обхода решений безопасности

[Artifact]

WastedLocker сбивает с толку решения для защиты от вымогательского ПО, базирующиеся на анализе поведения.

Появившееся недавно одно из самых опасных семейств вымогательского ПО WastedLocker обязано своим успехом уникальному механизму обхода решений безопасности, в том числе инструментов для блокировки программ-вымогателей.
Вымогательское ПО WastedLocker появилось в мае нынешнего года и https://www.securitylab.ru/news/509464.phpв арсенал известной киберпреступной группировки Evil Corp, также известной как Dridex. Именно оно использовалось в нашумевшей https://www.securitylab.ru/news/510499.phpна компанию Garmin, предположительно https://www.securitylab.ru/news/510639.phpEvil Corp $10 млн за инструмент для расшифровки файлов.
Исследователи компании Sophos изучили WastedLocker и https://news.sophos.com/en-us/2020/0...liar-heritage/, что для обхода обнаружения вредонос использует дополнительные средства. Его создатели разработали целую последовательность маневров, направленных на то, чтобы сбить с толку решения для защиты от вымогательского ПО, базирующиеся на анализе поведения.
Многие семейства вымогателей для обхода обнаружения используют обфускацию кода, но разработчики WastedLocker добавили к ней еще один уровень защиты – взаимодействие с функциями Windows API прямиком из памяти, куда инструментам для обнаружения вымогательского ПО, базирующимся на анализе поведения, не добраться. Для обхода этих инструментов WastedLocker шифрует файлы на атакованном компьютере с помощью ввода-вывода с отображением в память. Этот метод позволяет вымогателю прозрачно шифровать кэшированные документы в памяти, не вызывая дополнительных операций ввода-вывода на диск.
Когда заражение обнаружено, уже слишком поздно что-то предпринимать. Как правило, первым признаком атаки являются уже зашифрованные файлы и записка с требованием выкупа.
Если злоумышленникам удается получить учетные данные администратора, они могут подключиться к VPN или отключить инструменты безопасности. В отсутствие механизма двухфакторной аутентификации они легко могут авторизоваться в RDP, VPN и панелях администрирования.