Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
The Hacker News · 1T SIDEN · sikkerhet

GigaWiper utgir seg for å være løsepengevirus, men lagrer aldri nøkkelen

SYNOPSIS_GENERERT

Microsoft har analysert GigaWiper, en Windows-bakdør som samler disksletting, falskt løsepengevirus og spionvare i ett verktøy. Det finnes ingen nøkkel å betale for.

NotPetya gjorde det i 2017: kryptering som så ut som utpressing, men egentlig var ren ødeleggelse. GigaWiper bruker samme forkledning. Microsoft har tatt bakdøren fra hverandre og finner tre eldre ødeleggelsesverktøy bygget sammen til ett program, tilgjengelig som nummererte kommandoer operatøren kan velge mellom.

Den første overskriver den fysiske disken og partisjonstabellen før omstart. Den andre er falskt løsepengevirus bygget på kode kalt Crucio: filene får endelsen .candy og bakgrunnsbildet byttes ut med en advarsel, men det finnes verken løsepengekrav eller lagret nøkkel. Den tredje overskriver Windows-disken flere ganger med ulike datamønstre. Ingen av dem har vei tilbake.

Samme bakdør tar skjermbilder av hver tilkoblet skjerm, kan åpne en skjult VNC-økt og tømme Windows-loggene. Den gir seg ut for å være OneDrive gjennom en planlagt oppgave kalt «OneDrive Update» som kjører hvert minutt, og sender kommandoer over RabbitMQ, Redis og MinIO. Det er alminnelige tjenester, så trafikken ser normal ut i nettverk som allerede kjører dem.

Binary Defense har sett de samme filene under navnet BLUERABBIT og knytter dem, med henvisning til Googles Threat Intelligence Group, til en trolig Iran-tilknyttet gruppe rettet mot israelske virksomheter. Microsoft navngir intet land. Fordi dette er skadevare og ikke en sårbarhet, finnes ingen oppdatering å installere. Når ett og samme implantat kan overvåke, stjele eller ødelegge, røper ikke lenger funnet av verktøyet hva angriperen var ute etter.

Hva bør du gjøre?

  1. Let etter en planlagt oppgave kalt «OneDrive Update» som gjentas hvert minutt.
  2. Flagg RabbitMQ- eller Redis-trafikk som kommer fra vanlige klientmaskiner og ikke fra servere.
  3. Hold offline backup og slå på tamper protection, slik at antivirus ikke kan skrus av innenfra.

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN