Zepto активно распространяется через спам

Новый вымогатель под названием Zepto тревожит ИБ-экспертов своей связью с результативным и грозным криптолокером Locky. Zepto был впервые замечен около месяца назад, но недавняя волна вредоносного спама, содержащего загрузчик Zepto, произошедшая 27 июня, вызвала беспокойство и может означать активизацию вредоносных атак.

«Мы внимательно следим за Zepto. Он тесно связан с Locky, у них есть много общего, — рассказывает Крейг Уильямс (Craig Williams), глава команды по технологиям и менеджер по международному взаимодействию в Cisco Talos. — Нам предстоит многое узнать о Zepto. Судя по всему, это либо новая итерация Locky, либо совершенно новый вымогатель, использующий некоторые особенности Locky».

Исследовательское подразделение Cisco Talos, опубликовавшее отчет о новом криптолокере в четверг, говорит более чем о 137 тыс. спам-сообщений, содержащих загрузчик Zepto. Это имя было присвоено зловреду из-за расширения .zepto, которое появляется у зашифрованных файлов.

Технические подробности о Zepto также говорят о его родстве с Locky, утверждает Уоррен Мерсер (Warren Mercer), ИБ-исследователь в Cisco Talos. Среди общих черт — тип RSA-ключей, типы файлов, оставляемых после себя как Zepto, так и Locky, а также схожий текст сообщения с требованием выкупа.

Уильямс подчеркнул, что ввиду резкого роста ransomware-атак рынок наводнили ограниченные в действии и неэффективные вымогатели. Однако, хотя Zepto в данный момент можно назвать ограниченным, его эффективность довольно высока. «Это нас беспокоит. В случае Zepto чувствуется профессионализм разработки, и этот зловред способен заразить десятки тысяч пользователей. Так что новый вымогатель — предмет нашего повышенного внимания», — сказал Уильямс.

Заражение происходит через вредоносный zip-архив, приложенный к электронному письму и содержащий исполняемый JavaScript-файл. Как только этот файл запущен, зловред загружается и, не привлекая внимания, начинает шифровать файлы в фоновом режиме, добавляя к имени файла расширение.zepto.

Более подробное изучение JavaScript-вложения показало, что в 137 тыс. спам-сообщений содержалось 3305 уникальных образцов зловреда.

Распространение Zepto происходит через спам-ботнеты, проводящие ковровые рассылки. Хотя 137 тыс. спам-сообщений — не так уж много для засева вымогателя (некоторые распространяются тиражом более 50 млн сообщений в день), Уильямс считает, что это достаточно впечатляющая цифра для вымогателя, только что появившегося в дикой природе.