ShadowRoot: новая вымогательская угроза обрушилась на турецкий бизнес

[Artifact]

Здравоохранение и онлайн-торговля наиболее пострадали от действий хакеров.
Исследовательская команда X-Labs, действующая под крылом компании ForcePoint, https://www.forcepoint.com/blog/x-la...ish-businessesновый тип программ-вымогателей, нацеленных на турецкие предприятия.
Атака начинается с PDF-вложения, распространяемого через подозрительные электронные письма. Внутри PDF-файла содержится ссылка, которая загружает дальнейший исполняемый файл со скомпрометированного аккаунта на GitHub.
Загруженный файл является 32-битным бинарным файлом, скомпилированным с помощью Borland Delphi 4.0. После запуска он распаковывает и размещает дополнительные файлы в директории «C:\TheDream\», включая «RootDesign.exe», «Uninstall.exe» и «Uninstall.ini». Вторичный файл «RootDesign.exe» защищён с помощью .NET Confuser.Core версии 1.6.
Классы и функции файла защищены обфускацией, что позволяет обходить традиционные методы обнаружения вредоносного ПО. После распаковки вредоноса он запускает команду PowerShell для скрытого выполнения «RootDesign.exe».
Запущенный файл создаёт множество своих копий в памяти, что увеличивает потребление ресурсов системы. Он шифрует критические системные и офисные файлы, присваивая им расширение «.ShadowRoot». В корневом каталоге создаётся журнал «log.txt», в котором фиксируются все действия программы.
Зашифрованные файлы сопровождаются текстовым файлом «readme.txt», содержащим требования выкупа на турецком языке. В тексте не указаны данные криптокошелька, но жертвам предлагается связаться через указанный адрес электронной почты для дальнейших инструкций по оплате и дешифровке.
Вредоносное ПО нацелено на турецкие компании, особенно активно атакуя предприятия в секторах здравоохранения и онлайн-торговли. Для распространения хакеры используют фальшивые PDF-счета. Программа использует простые методы шифрования и имеет весьма базовый функционал, в связи с чем исследователи предположили, что она была создана малоопытными злоумышленниками.
Инцидент служит напоминанием, что даже простые и, казалось бы, непрофессиональные атаки могут нанести серьёзный ущерб, если организация не готова к ним. Регулярное обновление систем защиты, проведение тренингов по информационной безопасности и создание культуры осторожности при работе с электронной почтой и подозрительными вложениями могут значительно снизить риск успешных атак программ-вымогателей.