A operação Kofer Ransomware sofre mutação para evitar a detecção

Sua aparição no ciberespaço foi um grande empreendimento ransomware, chamado “Operação Kofer”- que tem a capacidade de mudar para enganar os mecanismos de localização.CryptoLocker Ransomware

Pesquisadores do Cybereason Labs analisaram diferentes versões Ransomware para café de todo o mundo, descobriram que compartilham as mesmas técnicas de construção e entrega, mas também incorporam variáveis ​​aleatórias para evitar a assinatura estática e a detecção baseada em hash.

Isso levou os pesquisadores a acreditar que todas as versões foram criadas pelo mesmo grupo de hackers que usava um algoritmo específico para misturar e combinar os ingredientes de maneira diferente, dando ao ransomware a capacidade de escapar de maneira semelhante ao APT.

Suas amostras Kofer analisados ​​por especialistas, eles tinham hashes e recursos diferentes, mas os mesmos recursos e propriedades de ícones falsos, nomes de arquivos falsos e um padrão de embalagem específico que conecta as amostras, o que parece irrelevante entre si em outras condições, sob um único negócio.

Além dos mecanismos que ajudam a impedir a detecção de caixas de areia e as ferramentas de detecção dinâmica, as variantes da Kofer também incluem elementos decorativos projetados para enganar os pesquisadores.

“O fato de as variantes do Kofer virem de apenas uma fonte é uma prova da comercialização de ransomware em um nível totalmente novo”, disse Uri Sternfeld, da Cybereason.

“A Operação Kofer parece ser a primeira empresa drive-by de ransomware a incorporar um nível de complexidade APT / estado-nação, tornando seu produto uma ameaça cada vez maior para as empresas.

Quanto à multiplicação descontrolada das variantes, todas foram encontradas e comparadas nas semanas anteriores, enquanto as novas provavelmente são criadas a cada poucos dias ou mesmo horas!

A Cybereason acredita que a Operação Kofer já tem uma presença pan-europeia, como confirmado por pesquisadores que encontraram versões na Espanha, Polônia, Suíça, Turquia e outras.

SecNews