Хакеры используют зараженные шифровальщиками устройства для DDoS-атак

Компания Invincea провела исследование, в результате которого стало известно, что злоумышленники начали использовать зашифрованные устройства в качестве инструмента для проведения DDoS-атак. Одна из новых версий вредоносного ПО Cerber проявляет активность, которая схожа с UDP-флудом.

Хакеры используют зараженные устройства для DDoS-атакИкенна Дайк, исследователь, который занимался проблемой, говорит о том, что новая версия Cerber создавалась как мультифункциональное решение, а не как простой шифровальщик. По окончании внедрения в систему вредоносное ПО вносит изменения, позволяющие производить подмену и запись файлов, включая пользовательский скринсейвер, после чего на экране появляется надпись с требованиями выкупа.

Другая же часть вируса начинает отправлять данные в диапазон адресов 85.93.0.0 - 85.93.63.255. При этом код вируса сильно запутан, а некоторые его куски были специально добавлены, чтобы усложнить работу аналитиков.

Интересным фактом является то, что антивирус самостоятельно способен создавать скриптовые файлы Visual Basic и выполнять их, при этом также появляется временный файл с названием 3311.tmp, который и является непосредственно самим шифровальщиком.

Файл с расширением .tmp запускает несколько раз системный процесс explorer.exe и зацикливается. При этом создается несколько различных файлов с разными именами, среди которых 3311.tmp и dnscacheugc.exe.

Возникающий после запуска вредоноса сетевой трафик использует порт 6892 для создания потока флуда на подсети. При этом он может быть в любой момент перенаправлен на внешние ресурсы, что выведет жертву из строя.

В момент проведения исследования Cerber, новая версия вредоноса могла быть не до конца интегрирована в систему, а это говорить о том, что он, возможно способен на другие махинации.

 

Раздел: