Вымогатель Thanos обзавелся модулем для перезаписи MBR

[Artifact]

Подобным функционалом в 2016 году обладал шифровальщик Petya.

Новый вариант вымогательского ПО Thanos пытается доставить на атакуемые системы записку с требованием выкупа путем перезаписи главной загрузочной записи (master boot record, MBR) Windows. Однако все попытки оказываются безуспешными.
Новый модуль Thanos для перезаписи MBR был https://unit42.paloaltonetworks.com/thanos-ransomware/специалистами подразделения Unit 42 компании Palo Alto Networks. Эксперты выявили его во время анализа двух атак с использованием вариантов Thanos на госучреждения в странах Северной Африки и Среднего Востока в июле 2020 года.
Как отмечает аналитик Unit 42 Роберт Фальконе (Robert Falcone), перезапись MBR – довольно агрессивная функция, нехарактерная для традиционного вымогательского ПО. По его словам, для восстановления зашифрованных файлов жертвам (даже если они уплатили выкуп) придется приложить больше усилий.
«К счастью, в данном случае ответственный за перезапись MBR код стал исключением, поскольку записка с требованием выкупа содержала недействительные символы, благодаря чему MBR осталась нетронутой, и система загрузилась как положено», - сообщил Фальконе.
Подобным функционалом в 2016 году обладало вымогательское ПО Petya. Вредонос подменял MBR на скомпрометированном устройстве экраном блокировки, на котором отображалось требование выкупа. Кроме того, Petya отображал поддельное окно приложения для проверки жестких дисков CHKDSK с целью шифрования MFT в фоновом режиме, в результате чего все файлы становились недоступными.
Хотя попытки Thanos перезаписать MBR оказываются безуспешными, вымогателю все равно удается отобразить требование выкупа стандартным методом – путем создания текстового файла HOW_TO_DECIPHER_FILES.txt, в котором от жертвы требуется $20 тыс. за ключ для расшифровки файлов.
Во время анализа восстановленных после атаки образцов Thanos исследователи обнаружили действительные учетные данные. Это навело их на мысль о том, что прежде чем развертывать вымогательское ПО, операторы вымогателя получают доступ к сетям жертвы.