Группировка вымогателей BlackByte применила новую технику, которую исследователи безопасности назвали «Bring Your Own Driver». Данная техника позволяет обходить защиту, отключая более 1000 драйверов, используемых различными решениями безопасности. В недавних атаках, связанных этой группировкой, применялся драйвер MSI Afterburner RTCore64.sys, который содержит уязвимость CVE-2019-16098, позволяющую злоумышленнику локально повысить привилегии или удаленно выполнить код. Использование данной уязвимости позволило BlackByte отключить драйверы средств защиты таких, как EDR и антивирус. Также группировка Lazarus была замечена при использовании техники «Bring Your Own Driver».
Бэкдор по имени Maggie угрожает серверам Microsoft SQL по всему миру
Немецкие исследователи безопасности из DCSO CyTec сообщают, что новый бэкдор под названием Maggie уже заразил сотни компьютеров в Южной Корее, Индии, Вьетнаме, Китае, России, Таиланде, Германии и США. Анализ вредоносного ПО показал, что оно маскируется под DLL-библиотеку sqlmaggieAntiVirus_64.dll с цифровой подписью компании DEEPSoft. Поддерживаемые бэкдором команды позволяют злоумышленнику запрашивать системную информацию, запускать программы, взаимодействовать с файлами и папками, включать службы удаленного рабочего стола TermService, запускать прокси-сервер SOCKS5 и настраивать переадресацию портов.
MafiaWare666 (JCrypt, RIP Lmao, BrutusptCrypt или Hades) — это разновидность программы-вымогателя, написанная на C# и не содержащая никаких методов обфускации или антианализа. ВПО шифрует файлы, используя алгоритм шифрования AES. Шифровальщик производит поиск заданных папок (Рабочий стол, Музыка, Видео, Изображения и Документы) и шифрует файлы, добавляя известное расширение. Группа исследования угроз Avast обнаружила уязвимость в схеме шифрования, позволяющую расшифровать некоторые варианты без уплаты выкупа.