In English

19 juni, 2017

Sorebrect - En otäck form av ransomware

Det finns ingenting som tyder på att vågen av ransomware-attacker är på väg att avta. Istället ser det istället ut som om angriparna blir allt mer professionella i sitt sätt att arbeta. Idag försöker de inte bara infektera så många enheter som möjligt utan gör också allt för att gå under radarn, så länge som det bara är möjligt.

Säkerhetsforskare har nyligen identifierat en ny form av ”fileless ransomware”, som fått namnet ”Sorebrect”. Sorebrect injicerar skadlig kod till en legitim systemprocess (svchost.exe) på ett specifikt system och självförstör sig sedan för att undvika att upptäckas av skyddsåtgärder.

Sorebrect har utformats för att infektera företagets servrar och klienter, och initierar när den fått fäste en filkrypteringsprocess på den lokala maskinen och andra nätverksanslutna enheter.

Sorebrect kan via brute-force eller andra attacker komma över administratörsuppgifter och använder sedan Microsoft Sysinternals PsExec kommandoverktyg för att kryptera filer. På så vis kan angriparen köra fjärrstyrda kommandon, istället för att exempelvis manuellt överföra skadlig programvara till en fjärrstyrd maskin.

Ifall behörighetsnivåerna är låga på nätverket kan den skadliga koden spridas vidare i snabb fart och infektera andra enheter som är anslutna.

Något som särskiljer just det här skadliga koden är att den raderar alla eventloggar (via wevtutil.exe) och skuggkopior (via vssadmin) på den infekterade maskinen i syfte att göra det svårare för den som vill upptäcka och stoppa attacken.

Sorbrect använder även Tors nätverksprotokoll för kommunikationen med sin command-and-control-server med avsikt att hålla sig så anonym det bara är möjligt.

Till en början har Sorbrect främst drabbat användare i Mellanöstern men attackerna har nu upptäckts i flera europeiska länder och i USA.

Kontakta oss

Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.