Компания ESET — лидер в области информационной безопасности — предупреждает о распространении сложной программы-вымогателя FriedEx (также известная как BitPaymer). Ее жертвами чаще всего становятся не обычные пользователи, а компании и цели особой важности.
Впервые вредоносную программу FriedEx было зафиксировано в начале июля 2017 года, а уже в августе угроза атаковала больницы в Шотландии. Программа-вымогатель шифрует каждый файл случайно сгенерированным ключом RC4, который затем шифруется с помощью закодированного 1024-битного открытого ключа RSA и сохраняется в соответствующем файле с расширением .readme_txt.
По результатам детального анализа угрозы специалисты ESET выяснили, что к созданию недавно зафиксированной угрозы причастны авторы известного банковского трояна Dridex. Стоит отметить, что вредоносная программа Dridex впервые была обнаружена в 2014 году. Через некоторое время благодаря многочисленным усовершенствованиям угроза Dridex превратилась в один из самых сложных банковских троянов. В частности, четвертая версия вредоносной программы была дополнена технологией «Atom Bombing», а позже еще и эксплойтом, который использовал 0-дневную уязвимость в Microsoft Office.
Проведя детальный анализ угроз Dridex и FriedEx в конце 2017 года, специалисты ESET обнаружили сходство в кодах этих двух вредоносных программ. В частности, обе вредоносные программы используют одинаковые техники для скрытия информации о своей активности в системе. Кроме этого, FriedEx и Dridex используют специфическую функцию для генерации уникального идентификатора жертвы.
Также во вредоносных программах FriedEx и Dridex находятся уникальные пути PDB (база данных программы). В частности, файлы содержат символы, которые помогают разработчикам устранять ошибки и обнаруживать сбои. Как правило, пути PDB редко присутствуют в бинарных файлах вредоносного программного обеспечения, поскольку злоумышленники стараются не оставлять никакой информации о собственной деятельности.
В свою очередь, одинаковая дата компиляции в некоторых образцах Dridex и FriedEx также подтверждает то, что обе программы были разработаны одновременно.
Учитывая все сходства в кодах, специалисты ESET полагают, что эти два семейства вредоносных программ было создано одной группой разработчиков. Как видим, сегодня авторы Dridex не только последовательно совершенствуют банковский троян, но и адаптируются к последним тенденциям в мире киберугроз, создавая собственные программы-вымогатели. Вероятно, группа киберпреступников не собирается останавливаться на достигнутом, но и в дальнейшем будет улучшать свои вредоносные программы или даже создавать новые опасные угрозы высокого уровня сложности.