Программа-вымогатель Bit Paymer попала в шотландские больницы

Несколько больниц, входящих в совет директоров NHS Lanarkshire, в пятницу были атакованы версией вымогателя Bit Paymer.

В совет NHS Lanarkshire входят больницы, такие как больница Hairmyres в Ист-Килбрайде, больница Monklands в Эйрдри и больница общего профиля Wishaw.

Затронутые системы исправлены за выходные

Инфекция пустила корни в пятницу, 25 августа. Официальные лица NHS Lanarkshire сразу же признали инцидент.

На следующий день официальные лица совета директоров выступили с заявлением, в котором говорилось, что они держат ситуацию под контролем и в настоящее время восстанавливают поврежденные системы, и, по их оценкам, эта операция продлится до понедельника.

«К сожалению, небольшое количество процедур и назначений было отменено в результате инцидента», – сказал исполнительный директор NHS Lanarkshire Калум Кэмпбелл.

Bit Paymer активен

Программа-вымогатель Bit Paymer – иногда также называемая Bitpaymer – впервые привлекла внимание Bleeping Computer 11 июля, когда исследователь безопасности Майкл Гиллеспи опубликовал в Твиттере ссылку на образец, загруженный на VirusTotal, веб-службу сканирования файлов.

Сотрудник-исследователь MalwareHunter сообщил сегодня Bleeping Computer в частной беседе, что после атак NHS в Ланаркшире, еще 21 июня 2017 года на VirusTotal было обнаружено больше образцов, намекая на то, что до инцидента NHS в Ланаркшире могло быть проведено больше кампаний.

В отличие от большинства программ-вымогателей, которые мы видим сегодня, Bit Paymer хорошо запрограммирован и, по всей видимости, создан опытными программистами.

Распространение Bit Paymer с помощью RDP-атак методом перебора
Исследователь безопасности Emsisoft , который идет в Интернете под псевдонимом xXToffeeXx считает , установлен вымогатели после того, как злоумышленники проводили грубую силу атаку на открытом RDP конечных точках.

Получив доступ к одной системе, злоумышленники перемещаются в сторону взломанной сети и вручную устанавливают Bit Paymer на каждую взломанную систему.

По словам Гиллеспи, программа-вымогатель шифрует файлы с помощью комбинации алгоритмов шифрования RC4 и RSA-1024. Исследователь говорит, что в настоящее время нет возможности расшифровать файлы, заблокированные вымогателем Bit Paymer.

Программа-вымогатель требует выкуп в размере 230000 долларов

Программа-вымогатель добавляет строку «.locked» в конце каждого имени зашифрованного файла. Файл с именем «image.png» станет «image.png.locked».

Bit Paymer также генерирует текстовые файлы с запиской о выкупе и размещает их по всей файловой системе, где он зашифровывает файлы.

Этот сайт также требует выкупа. Как и аналогичные штаммы вымогателей, устанавливаемые с помощью целевых атак, Bit Paymer требует астрономического выкупа. В образцах, наблюдаемых в прошлом, это было 53 биткойна, что составляет 230 000 долларов по сегодняшнему обменному курсу. В других случаях, наблюдаемых xXToffeeXx, выкуп был меньше – всего 20 биткойнов. «Они меняют размер выкупа в зависимости от жертв», – сказал исследователь.

Bit Paymer также очень странно обрабатывает выплаты выкупа. Группа, стоящая за этой программой-вымогателем, хочет, чтобы жертвы отправили три транзакции «подтверждения» в 1 биткойн перед отправкой полной оплаты. Это, скорее всего, предотвратит отправку жертвами большей части суммы на неправильный биткойн-адрес.

Ориентация на крупные компании

Другие семейства программ-вымогателей, которые мы видели в прошлом вручную, устанавливались на системы целей после атак грубой силы RDP, включая RSAUtil , Xpan , Crysis , Samas (SamSam) , LowLevel , DMA Locker , Apocalypse , Smrss32 , Bucbi , Aura / BandarChor , ACCDFISA , или Глобус .

«В Bitpaymer интересно то, что они специально нацелены на компании, а не просто на любые компании, довольно большие компании», – объясняет xXToffeeXx. «Это сильно отличается от большинства других RDP-компаний, нацеленных на программы-вымогатели. Напоминает мне SamSam».

Не следует путать Bit Paymer с программой-вымогателем Defray, которую исследователи Proofpoint обнаружили на прошлой неделе и предназначались для организаций здравоохранения. Согласно отчету Proofpoint , Defray распространяется через спам по электронной почте, а не через атаки методом грубой силы RDP.

Две недели назад исследователь Malwarebytes Хашерезаде загрузил на YouTube видео, в котором подробно описывается процесс распаковки полезной нагрузки вымогателя BitPaymer. Видео может оказаться полезным для исследователей, которые хотят проанализировать угрозу.

По материалам: https://socamp.ru/

Оставьте комментарий