Команда исследователей Cisco OpenDNS представила отчет о малвари WildFire, которую с недавних пор активно распространяет крупный ботнет Kelihos. Эксперты пишут, что пока шифровальщик WildFire еще малоизвестен на рынке, но, судя по всему, он является новой версией вредоносов Zyklon и GNL, и был создан русскоязычными хакерами.
WildFire распространяется стандартным для шифровальщиков способом: через спамерские письма, к которым приложены вредоносные документы Word. Используя социальную инженерию, злоумышленники убеждают пользователей открыть такой файл, после чего срабатывают вредоносные макросы, и в систему попадает вымогательское ПО.
Исследователи сообщили, что исходные коды WildFire пока остаются загадкой, так как малварь прошла несколько стадий обфускации: сначала был задействован ConfuserEx, затем какой-то неизвестный криптер, и после .NET Reactor. Тем не менее, экспертам удалось установить, что WildFire связывается управляющими серверами на четырех разных доменах, где регистрирует инфекцию, получает пароль и user ID.
Специалисты MalwareHunterTeam, которые тоже изучили новую инфекцию, отмечают, что взломать шифрование WildFire, не получив пароль, невозможно.
Исследовав C&C-серверы вредоноса, команда OpenDNS обнаружила в коде одного из доменов комментарии на русском языке, из чего был сделан вывод, что за угрозой, возможно, стоят русскоговорящие преступники. Также удалось установить, что сервер заработал 20 июня 2016 года, и лишь через день, 21 июня, специалисты заметили WildFire впервые.
Специалисты MalwareHunterTeam тоже заметили комментарии на русском языке. В частности, в старой версии инструмента для дешифровки данных присутствовала фраза:
«Алты́нного во́ра ве́шают, а полти́нного че́ствуют».
По данным экспертов, в настоящее время WildFire атакует только пользователей из Голландии. Скорее всего, злоумышленники пока только тестируют свое детище, прежде чем отпустить его «в большое плавание», хотя WildFire и выглядит уже законченным продуктом.
Ранее, в апреле-мая 2016 года, WildFire был известен под именами Zyklon и GNL. Тогда было замечено, что шифровальщик атаковал пользователей из Германии и Нидерландов. В то время вымогатель подменял расширения зашифрованных файлов на .locked и .zyklon.
По данным OpenDNS, спам-кампания по распространению WildFire стартовала в двадцатых числах июня 2016 года, но настоящую активность мошенники начали проявлять лишь после 11 июля текущего года. Графики ниже демонстрируют значительный прирост вредоносных писем в этот период времени.
Эксперты полагают, что WildFire имеет все шансы превратиться в серьезную угрозу, так как за этим шифровщиком определенно стоят профессионалы, а не очередные скрипт-кидди, арендовавшие малварь в даркнете.
