Sage Ransomware leo thang đặc quyền và Evades phân tích

Computer Security News

Chuyên gia bảo mật Fortinet đã cảnh báo rằng của Sage ransomware đã leo thang đặc quyền của mình và thêm khả năng chống phân tích.

Mặc dù các mối đe dọa rất hoạt động vào đầu năm nay, nó đã không hiển thị bất kỳ hoạt động đáng kể trong sáu tháng qua.

Trong tháng ba, các nhà nghiên cứu an ninh tìm thấy mẫu tương tự như một phiên bản của Sage, Tuy nhiên, một trong đó đã có khả năng leo thang chống phân tích và đặc quyền.

Các Sage ransomware được phân phối thông qua thư rác email với JavaScript độc hại tập tin đính kèm. Theo các chuyên gia, phần mềm độc hại có chung cơ sở hạ tầng phân phối cùng với Locky ransomware.

Ngoài ra, các nhà nghiên cứu nhận thấy các mối đe dọa đang được phân phối thông qua file tài liệu có chứa độc hại macro. Nó thúc đẩy các tên miền cấp (TLD) .info và .top cho việc phân phối phần mềm độc hại.

Sage ransomware sử dụng thuật toán mã hóa ChaCha20 để mã hóa tập tin của nạn nhân và gắn thêm phần mở rộng .sage với họ. Phần mềm độc hại tránh lây nhiễm cho máy tính có bố trí bàn phím sau: Belarus, Kazak, Uzbek, Nga, Ukraina, Sakha và Latvia.

Phân tích trong Sage mã cho thấy rằng hầu hết chuỗi đã được mã hóa trong một nỗ lực để che giấu hành vi độc hại. Theo Fortinet, những người sáng tạo phần mềm độc hại đã sử dụng mã ChaCha20 để mã hóa và mỗi chuỗi mã có phím cứng mã hóa giải mã của riêng mình.

Ngoài những điều nêu trên, Sage đã thực hiện một loạt các kiểm tra để xác định nếu nó đang được nạp vào một sandbox hoặc một máy ảo để phân tích.

Ransomware liệt kê tất cả các quá trình hoạt động trên máy tính, tính một băm cho mỗi một trong số họ, và kiểm tra băm với hardcoded danh sách quá trình danh sách đen. Bên cạnh đó, nó sẽ kiểm tra đường dẫn đầy đủ của nơi mà phần mềm độc hại thực hiện và chấm dứt nếu nó bao gồm dây giống như mẫu, malw, sampel, virus, {của mẫu MD5,} và {mẫu của SHA1}.

Ngoài ra, các biến thể mới của Sage sẽ kiểm tra tên người dùng và máy tính để xác định nếu họ phù hợp với một danh sách tên thường được sử dụng trong các môi trường chỗ thử. Bên cạnh đó, nó sử dụng các x86 hướng dẫn CPUID để nhận được thông tin bộ vi xử lý và so sánh nó với một danh sách các danh sách đen CPU ID.

Ngoài tất cả các chức năng khác cho đến nay, phần mềm độc hại sẽ kiểm tra xem một virus chạy trên máy tính (liệt kê các dịch vụ đang chạy dưới bộ điều khiển dịch vụ) và kiểm tra nó với một tập hợp các địa chỉ MAC danh sách đen.

Các chuyên gia cũng phát hiện ra rằng Sage là có khả năng nâng cao đặc quyền của mình bằng khai thác một lỗ hổng hạt nhân Windows vá (CVE-2015-0057) hoặc lạm dụng các eventvwr.exe và thực hiện đăng ký cướp để vượt qua User Account Control (UAC).

Sage tống đã được dịch ra sáu ngôn ngữ mới cho thấy rằng ransomware creator có thể nhắm mục tiêu các quốc gia khác trong tương lai.

Hiện nay, phần mềm độc hại các nạn nhân được hướng dẫn để truy cập vào một trang web củ hành bằng cách sử dụng trình duyệt TOR và phải trả một tiền chuộc $2000 để mua phần mềm SAGE Decrypter”” và phát hành các tập tin.


Leave a Reply

Your email address will not be published. Required fields are marked *