Buran: ransomvér, ktorý láka kriminálnikov nízkou cenou

Buran: ransomvér, ktorý láka kriminálnikov nízkou cenou

Oproti konkurencii ponúkajú tvorcovia zľavu a sú ochotní vyjednávať.

Výskumníci spoločnosti McAfee objavili novú ransomvérovú rodinu s názvom Buran. Prvýkrát sa tento malvér objavil v máji 2019 v rámci takzvaného modelu ransomvér ako služba.

Dostupný je na ruskom hekerskom fóre, kde láka kriminálnikov najmä výhodnou cenou. Autori ransomvéru si totiž z útoku berú len 25 percent, kým podobné malvéry ako napríklad GranCrab či Phobos zarábajú pre svojich tvorcov okolo 30 až 40 percent zo sumy získanej vydieraním obetí. Autori Burana sú navyše ochotní dohodnúť sa na ďalšej zľave, ak im kupujúci zaručí vysokú mieru infikovania počítačov.

Podľa tvorcov je Buran kompatibilný so všetkými verziami operačného systému a servermi Windows. Spoločnosť McAfee však zistila, že niektoré staršie verzie systému, vrátane Windows XP sú voči nemu imúnne. Podľa reklamy na fóre je malvér stabilný Cryptolocker, teda trójsky kôň, ktorý šifruje súbory a od obetí žiada výkupné. Na svoju činnosť nepotrebuje internetové pripojenie ani spojenie s C2 serverom, tzv. offline režim. Má flexibilnú funkčnosťou a 24-hodinovou podporou sedem dní v týždni.

Buran má dve verzie písané v Delphi, pričom druhá z nich má niekoľko vylepšení. Nezaútočí napríklad na špecifické regióny ako Arménsko, Bielorusko, Kazachstan, Kirgizsko, Moldavsko, Rusko, Tadžikistan, Turkmenistan, Ukrajinu a Uzbekistan. V prípade, že sa bude nachádzať v počítačoch registrovaných v týchto krajinách, malvér ukončí svoju činnosť pomocou funkcie ,,ExitProcess“.

Výskumníci veria, že je ďalším vývojovým stupňom ransomvéru Jumper a oba majú svoj pôvod v ransomvéri VegaLocker. Taktiky, techniky a postupy, ktoré sa nachádzajú v ich kódoch sú si totiž podobné. Ide o zmeny registra, typy súborov v dočasných priečinkoch, prekrývajúce sa prípony či vytváranie tieňových kópií.

(RS)