Retadupワームは、コンピューターの専門家によってシャットダウンされています, これは、STOPランサムウェアバージョンの大部分を占めるマルウェアです。. ワームは主にラテンアメリカで拡散し、ターゲットホストが侵害されたときに実行される広範なマルウェアシーケンスを持っています. セキュリティの専門家は、可能な限りシャットダウンしようとしているため、メインのペイロードであるSTOPランサムウェアの拡散を制限しています。.
STOPランサムウェアがRetadupワームをシャットダウンすることで停止しています
Retadupワームは非常に危険な脅威であり、STOPランサムウェアサンプルの主要なキャリアの1つとしていくつかのレポートで説明されています. これらは、現在進行中の攻撃キャンペーンの多くがそれを実行しているため、最も厄介なウイルスの脅威の1つである広範なランサムウェアの脅威です。. セキュリティ専門家のチームは、STOPウイルスに感染したコンピューターの数を急速に減少させた脅威のリリースを阻止する方法を考案することができました。.
Retadupワームは非常に危険な脅威であり、STOPランサムウェアサンプルの主要なキャリアの1つとしていくつかのレポートで説明されています. これらは、現在進行中の攻撃キャンペーンの多くがそれを実行しているため、最も厄介なウイルスの脅威の1つである広範なランサムウェアの脅威です。. セキュリティ専門家のチームは、STOPウイルスに感染したコンピューターの数を急速に減少させた脅威のリリースを阻止する方法を考案することができました。.
脅威の詳細な調査は、主な指揮統制の所在を調査するセキュリティチームによって行われました。 (C&C) サーバー—識別されると、専門家は感染に対抗することを試みることができます. インフラストラクチャはフランスでホストされていることが判明したため、アナリストはフランスの国家憲兵隊に連絡するようになりました。彼らは、専門家にサーバーを最大限に無力化するための青信号を与える命令を出しました。. その結果、ウイルスの活動が大幅に減少し、多くのSTOPランサムウェアサンプルのリリースが停止しました。. しかし、これは他のハッキンググループがウイルスの新しい亜種をリリースするのを止めていません.
Retadupワームアクティビティ: STOPランサムウェアウイルスをどのように配信するか
このマルウェアについて特に興味深いのは、犯罪グループがSTOPランサムウェアサンプルを広める目的でマルウェアを使用する前に、数年間開発されてきたマルウェアです。. 何年にもわたって、さまざまなモジュールとコンポーネントが追加され、メインエンジンが改善されました. この記事を書いている時点では、メジャーバージョンは2つのファイルで構成されています: スクリプト言語インタプリタとスクリプト自体. さまざまなコンポーネントを実行する組み込みシーケンスが起動されます, それらの例のリストは次のとおりです:
- ワームインストールチェック —感染エンジンによって実行される最初のアクションの1つは、アクティブな実行中の感染があるかどうかを確認することです。. これは、ホストがデバッグ環境であるか仮想マシンゲストであるかを確認するために行われます。. これが陽性の場合は停止します.
- 永続的なインストール — Retadupワームは、システムが起動するとすぐに自動的に起動する方法でインストールされます. リカバリブートオプションへのアクセスが無効になり、ユーザーがシステムをリカバリするのが非常に困難になる可能性があります. また、リムーバブルストレージデバイスや利用可能なネットワーク共有などの他のホストにも広がる可能性があります.
- トロイの木馬の操作 —ワームは、ハッカーが制御するサーバーへの安全で永続的な接続を確立します, 到達可能な場合. これにより、犯罪者はホストの制御を引き継ぎ、ホスト上で見つかったデータを乗っ取ることができます。.
- Windowsレジストリの変更 —メインエンジンは、感染したホストにさまざまな種類の変更をコミットすることが確認されています. 結果には、特定のアプリケーションとサービスの実行に関する問題が含まれます, パフォーマンスの問題とデータの損失.
ウイルスサンプルのコマンド中に最も頻繁に使用されるコマンドは次のとおりです。 アップデート 脅威の新しいリリースが利用可能かどうかを確認するために使用されます; ダウンロード 他のマルウェアをホストに展開します; 寝る マルウェアの実行を一時的に停止します< and Updateself 現在のフォームを再編成します. ほとんどのウイルスはまた、洗練されたものを使用しています UACセキュリティバイパス これは、MicrosoftWindowsシステムで利用可能なほとんどの高度なトロイの木馬の一部であることが知られています. Retadupワームは、難読化され暗号化された形式でメモリに読み込まれます。つまり、リアルタイムで必要に応じて復号化されます。. これは、ほとんどの場合、実行中のエンジンの検出が非常に困難になることを意味します.
コマンドサーバーとコントロールサーバーの分析は、それらがNode.js実装によって強化されており、データがMongoDBデータベースに保存されていることを示しています。. 詳細な分析は、バージョン全体でさまざまなタイプの組織構造があることを示しています. 行われた分析は、データベースに収集された情報が、感染したホストを制御できるようにするユーザーインターフェイスを作成するためにコントローラーによって使用されることを示しています。. 収集されたサンプルのいくつかは、高度な操作を可能にするために示されています, そのような例は次のとおりです:
- ボットネットの募集 —ホストは、感染したコンピューターの国際ネットワークの一部にすることができます. これが事実になると、侵害されたホストをグループで使用して、事前設定されたネットワークに対して壊滅的な分散攻撃を開始し、それらを機能させないようにすることができます。.
- 暗号通貨マイナーの読み込み —ウイルス感染の結果である最も一般的な感染の1つは、暗号通貨マイナーの展開です. パフォーマンスの高い一連の数学的タスク、特にCPUをダウンロードする小さなサイズのスクリプトまたはアプリケーションがあります, メモリー, ハードディスク容量とネットワーク接続. 感染がサーバーに完了したと報告されると、ハッカーはウォレットに直接暗号通貨賞を授与されます.
Retadupワームの現状
ワームに関連する多数のドメインとサーバーが専門家によってシャットダウンされました. しかし、これはSTOPランサムウェア株の拡散を阻止するのに十分ではありませんでした. このワームは最も効率的な感染源の1つであるようです, それだけではありません. 多くのサーバーをシャットダウンした後、一部の株の量は減少しましたが、STOPウイルスは引き続き発生しています。. これは、これらのステートメントの1つがおそらく真実である可能性があると信じる理由を私たちに与えます:
- これらのWebサーバーの背後にある犯罪集団は、STOPランサムウェア文字列の主要な開発者の1人です。. これは、すべてのサーバーが停止すると、進行中の感染の数が劇的に増加する可能性があることを意味します.
- 状況の2番目の代替的な理解は、サーバーがSTOPランサムウェアの独自のバージョンを広めるために、さまざまなハッキンググループによってレンタルまたは貸与されていることです。.
- もう1つの提案は、ワームとそれに関連するSTOPウイルスを配信するために、これらのサーバーをハッキングすることです。.
いずれにせよ、良いニュースは、そのような操作がセキュリティの専門家によって停止されているということです . ただし、大規模なSTOPランサムウェアのサンプルは引き続き作成されており、今後の作成と配布が遅くなることはないと予想されます。. この結論の理由は、毎週多数の株が作られているという事実です。これは、それらが世界中の多くのハッカー集団によって使用されている非常に有益なツールであることを示しています。.