TTL OSINT

Программа-вымогатель Embargo: Rock'n'Rust

В статье обсуждается обнаружение нового инструментария на основе Rust, используемого группой программ-вымогателей Embargo, которое впервые было замечено в июне 2024 года. Инструменты, названные MDeployer и MS4Killer, используются для развертывания программы-вымогателя Embargo и отключения продуктов безопасности на компьютере жертвы. Компания Embargo известна тем, что выбрала Rust в качестве языка программирования, который позволяет создавать более универсальные программы-вымогатели, нацеленные как на Windows, так и на Linux. Считается, что группа обладает хорошими ресурсами и работает в качестве поставщика программ-вымогателей как услуг (RaaS) с базовой схемой выплат для аффилированных лиц. Полезные программы-вымогатели имеют общие характеристики с программами-вымогателями из других групп, например, используют имена мьютексов, основанные на популярных рок-песнях. MDeployer - это основной вредоносный загрузчик, используемый для развертывания программ-вымогателей и отключения решений безопасности. Загрузчик взаимодействует с несколькими файлами, включая полезные файлы, зашифрованные с помощью RC4, и файл журнала. В некоторых случаях загрузчик компилируется в виде библиотеки DLL и может отключать средства защиты, перезагружая систему в безопасном режиме и переименовывая каталоги установки выбранных средств защиты.

Ссылка:https://www.welivesecurity.com/en/eset-research/embargo-ransomware-rocknrust/

Выборочные показатели Compromise:

• https://www.welivesecurity.com/en/eset-research/embargo-ransomware-rocknrust/
• www.welivesecurity.com
• 2ba9bf8dd320990119f42f6f68846d8fb14194d6
• 612ec1d41b2aa2518363b18381fd89c12315100f
• 7310d6399683ba3eb2f695a2071e0e45891d743b

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал