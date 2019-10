Uwaga, cyberprzestępcy znowu polują! Fortinet przestrzega przed kolejnym groźnym oprogramowaniem ransomware. Szkodnik o nazwie Nemty szyfruje pliki swoich ofiar i żąda okupu za ich odblokowanie. Za zagrożeniem, dostępnym również w modelu Ransomware-as-a-Service (ransomware jako usługa), kryją się najprawdopodobniej cyberprzestępcy z Rosji.

- Co ciekawe, podczas analizy tego złośliwego kodu odnaleziono pewne elementy używane także przez ransomware GandCrab, który jeszcze niedawno był jednym z najniebezpieczniejszych programów tego typu – mówi Robert Dąbrowski, szef zespołu inżynierów Fortinet w Polsce. – W dodatku Nemty jest dystrybuowane tą samą metodą co Sodinokibi, które również ma wiele podobieństw do GandCraba. Trudno jednak orzec, czy istnieje jakakolwiek rzeczywista relacja między nimi.

Jak działa Nemty?

Pierwsza z próbek Nemty, którą wzięli pod lupę eksperci z laboratorium FortiGuard firmy Fortinet, pochodziła z linku udostępnionego na twitterowym koncie @BotySrt. Zresztą nie był to pierwszy raz, kiedy w tym miejscu znaleziono zagrożenie - wcześniej pojawiały się tam linki do skryptów w serwisie Pastebin, w których ukryto złośliwy kod z rodzin Sodinokibi i Buran. Tym razem kliknięcie w link powodowało przeniesienie do skryptu Powershell, który uruchamiał osadzony malware za pomocą metody Reflective PE Injection. To jednak, co analitycy pobrali spod linku Sodinokibi, nie okazało się tym razem oczekiwanym i dobrze już znanym ransomware’em , ale ścieżką prowadzącą do zupełnie nowego kodu, który w nieco późniejszym czasie zidentyfikowany został jako Nemty.I wprawdzie specjaliści z Fortinet znaleźli w kodzie Nemty kilka nieprawidłowości, to jednak nie oznacza to, że szkodnik przestał być zagrożeniem. Przeciwnie - nadal może szyfrować pliki w systemie ofiary.Strona płatności okupu jest hostowana w sieci TOR, co jest standardową praktyką stosowaną w celu zachowania anonimowości w przypadku oprogramowania wyłudzającego okup. Aby przejść do strony głównej płatności, ofiara musiała przesłać zaszyfrowany plik konfiguracyjny oraz zaszyfrowany plik do testu deszyfrowania. W momencie powstania tego artykułu cyberprzestępcy żądali równowartości tysiąca dolarów w Bitcoinach w zamian za odzyskanie plików.Strona płatności dostępna jest w języku angielskim i rosyjskim, co – jak wskazują analitycy Fortinet – może być nietypowe i mylące. Biorąc pod uwagę osadzone w kodzie oprogramowania oświadczenie w języku rosyjskim, łatwo założyć, że twórcy Nemty pochodzą z Rosji. Zazwyczaj cyberprzestępcy z tego kraju unikają ataków na swoich rodaków, aby nie przyciągać uwagi władz.Zdaniem ekspertów Fortinet Nemty może być kolejnym przykładem dystrybucji złośliwego oprogramowania w modelu usługowym (RaaS – Ransomware-as-a-Service). Oznacza to, że będzie ono wkrótce dystrybuowane za pomocą innych narzędzi.