- 27,026
- 46
- 8 Ноя 2022
Вымогатель Mario от RansomHouse не прыгает по трубам — он шифрует ваши файлы.
Группировка, стоящая за одним из наиболее известных сервисов по распространению программ-вымогателей RansomHouse, усилила техническую сторону своих атак. По данным специалистов, в арсенале киберпреступников появился обновлённый инструмент шифрования, который отличается более сложной архитектурой и расширенным функционалом. Изменения коснулись как самого алгоритма обработки файлов, так и методов, затрудняющих их последующий анализ.
RansomHouse действует с конца 2021 года, начав с утечек данных, а затем перешёл к активному использованию шифраторов в атаках. Сервис активно развивался, включая появление утилиты MrAgent для массовой блокировки гипервизоров VMware ESXi. Одним из последних известных эпизодов стало применение различных вариантов вымогательского ПО против японской компании Askul , специализирующейся на электронной коммерции.
Недавний отчёт команды Unit 42 компании Palo Alto Networks описывает новый вариант шифратора под названием «Mario». В отличие от предыдущей версии, использовавшей одноэтапную обработку, обновлённая модификация применяет двухфазный подход с использованием двух ключей — основного длиной 32 байта и вспомогательного в 8 байт. Это значительно повышает стойкость шифрования и усложняет попытки восстановления данных.
Дополнительную защиту обеспечивает переработанный механизм обработки файлов. Вместо линейной схемы применяется динамическое разбиение на блоки при пороге в 8 ГБ, с частичным шифрованием. Размер и способ обработки каждого файла зависят от его объёма и рассчитываются с использованием сложных математических операций. Такой подход затрудняет статический анализ и делает поведение шифратора менее предсказуемым.
Также была изменена структура работы с оперативной памятью: теперь для каждой стадии шифрования используются отдельные буферы. Это увеличивает сложность кода и снижает вероятность обнаружения при анализе. Кроме того, новая версия выводит более подробную информацию в процессе обработки файлов, тогда как ранее ограничивалась лишь сообщением об окончании задачи.
Объектами атак по-прежнему остаются файлы виртуальных машин, которые после шифрования получают расширение «.emario». В каждом затронутом каталоге оставляется сообщение с инструкциями по восстановлению доступа к данным.
Специалисты Unit 42 подчёркивают, что подобное развитие шифратора RansomHouse — тревожный сигнал. Повышенная сложность мешает расшифровке и значительно затрудняет анализ образцов, что говорит о чётко выстроенной стратегии, нацеленной не на масштаб, а на эффективность и скрытность.
Группировка, стоящая за одним из наиболее известных сервисов по распространению программ-вымогателей RansomHouse, усилила техническую сторону своих атак. По данным специалистов, в арсенале киберпреступников появился обновлённый инструмент шифрования, который отличается более сложной архитектурой и расширенным функционалом. Изменения коснулись как самого алгоритма обработки файлов, так и методов, затрудняющих их последующий анализ.
RansomHouse действует с конца 2021 года, начав с утечек данных, а затем перешёл к активному использованию шифраторов в атаках. Сервис активно развивался, включая появление утилиты MrAgent для массовой блокировки гипервизоров VMware ESXi. Одним из последних известных эпизодов стало применение различных вариантов вымогательского ПО против японской компании Askul , специализирующейся на электронной коммерции.
Недавний отчёт команды Unit 42 компании Palo Alto Networks описывает новый вариант шифратора под названием «Mario». В отличие от предыдущей версии, использовавшей одноэтапную обработку, обновлённая модификация применяет двухфазный подход с использованием двух ключей — основного длиной 32 байта и вспомогательного в 8 байт. Это значительно повышает стойкость шифрования и усложняет попытки восстановления данных.
Дополнительную защиту обеспечивает переработанный механизм обработки файлов. Вместо линейной схемы применяется динамическое разбиение на блоки при пороге в 8 ГБ, с частичным шифрованием. Размер и способ обработки каждого файла зависят от его объёма и рассчитываются с использованием сложных математических операций. Такой подход затрудняет статический анализ и делает поведение шифратора менее предсказуемым.
Также была изменена структура работы с оперативной памятью: теперь для каждой стадии шифрования используются отдельные буферы. Это увеличивает сложность кода и снижает вероятность обнаружения при анализе. Кроме того, новая версия выводит более подробную информацию в процессе обработки файлов, тогда как ранее ограничивалась лишь сообщением об окончании задачи.
Объектами атак по-прежнему остаются файлы виртуальных машин, которые после шифрования получают расширение «.emario». В каждом затронутом каталоге оставляется сообщение с инструкциями по восстановлению доступа к данным.
Специалисты Unit 42 подчёркивают, что подобное развитие шифратора RansomHouse — тревожный сигнал. Повышенная сложность мешает расшифровке и значительно затрудняет анализ образцов, что говорит о чётко выстроенной стратегии, нацеленной не на масштаб, а на эффективность и скрытность.
- Источник новости
- www.securitylab.ru
