Kaspersky Lab descopera capacitatea troianului Rakhni de a alege un program de mining sau unul de criptare atunci cand infecteaza o victima

Raspandire geografica_rakhni-1

Produsele Kaspersky Lab au detectat noi mostre malware din familia de troieni ransomware Rakhni. Principala caracteristica a acestui malware este aceea ca poate alege modul in care isi infecteaza victimele – fie cu un program de criptare, fie cu unul de mining. Conform cercetatorilor companiei, malware-ul vizeaza in principal companiile si se raspandeste mai ales in Rusia (95,57%). In plus, a fost detectat in Kazahstan (1,36%), Ucraina (0,57%), Germania (0,49%) si India (0,41%). Numai in decursul anului trecut, au fost atacati peste 8.000 de utilizatori cu troienii din familia Trojan-Downloader.Win32.Rakhni.

Distributia malware-ului este realizata prin intermediul e-mail-urilor spam care au anexe ce contin un executabil infectat. Cand fisierul este deschis, executabilul este lansat. In acest moment, troianul decide cu ce va infecta PC-ul victimei. Malware-ul verifica existenta unui director “%AppData%\Bitcoin” , care ar putea indica existența unui portofel de Bitcoin. Potrivit cercetatorilor Kaspersky Lab, acest lucru duce la presupunerea ca victimele vor plati pentru a-si recupera fisierele, prin urmare troianul le cripteaza, ceea ce – teoretic – ii garanteaza atacatorului un profit rapid. In celalalt scenariu, infractorii vor incerca sa „castige” bani de la victima, fara ca aceasta sa observe, instaland un program de mining – cu conditia ca PC-ul sa aiba o capacitate suficienta pentru astfel de actiuni, care consuma numeroase resurse.

Este interesant de remarcat ca troianul poate si sa ignore cu desavarsire dispozitivul infectat si sa nu mai instaleze nici un criptor, nici un program de mining. Victima nu scapa, insa, nevatamata, pentru ca va fi lansata functionalitatea de „vierme” de retea – de exemplu, troianul va incerca sa distribuie copii tuturor computerelor disponibile in reteaua locala a victimei.

„Faptul ca malware-ul poate decide cum sa infecteze victimele, este inca un exemplu ca infractorii cibernetici incearca sa profite la maximum: fie direct, santajandu-le pentru a obtine bani (programul de criptare), prin utilizarea neautorizata a resurselor (programul de mining), fie extinzand lantul de distributie a malware-ului, cu viermele de retea”, spune Orkhan Mamedov, Malware Analyst, Kaspersky Lab.

Produsele Kaspersky Lab detecteaza acest malware cu urmatoarele verdicte:

Downloader: Trojan-Downloader.Win32.Rakhni.pwc

Miner: not-a-virus:RiskTool.Win32.BitCoinMiner.iauu

Cryptor: Trojan-Ransom.Win32.Rakhni.wbrf

Detalii despre troianul Rakhni sunt disponibile in articolul de pe Securelist.

Despre Kaspersky Lab

Kaspersky Lab este o companie globala din domeniul securitatii cibernetice, prezenta pe piata de peste 20 de ani. Informatiile vaste despre amenintarile cibernetice si experienta in securitate IT detinute de Kaspersky Lab se materializeaza in mod constant in solutii de securitate si servicii de ultima generatie pentru a proteja companiile, infrastructura critica, autoritatile guvernamentale si utilizatorii individuali din toata lumea. Portofoliul companiei include protectie endpoint de top si mai multe solutii specializate de securitate si servicii, pentru a combate amenintarile digitale tot mai sofisticate. Peste 400 de milioane de utilizatori individuali sunt protejati de tehnologiile Kaspersky Lab, precum si 270.000 de companii client, pe care le ajutam sa protejeze ce e mai important pentru ele. Pentru mai multe informatii, vizitati www.kaspersky.ro.

Leave a Reply

Your email address will not be published. Required fields are marked *