Исследователи CyFirma обнаружили новую RaaS Synapse, реализуемую на хакерских форумах с февраля 2024 года как одну из самых быстрых на сегодняшний день ransomware.
Одна из основных замеченных особенностей вредоносного ПО - это выполнение проверки часового пояса и языка системы, приводящая к завершению работы, если обнаружено, что какая-либо из них базируется в Иране.
Кроме того, Synapse шифрует данные телеметрии перед отправкой их на сервер C2 с использованием специального алгоритма с примечательной входной строкой: “Chuong Dong looks like <REDACTED>!!”
Та же строка используется в методологии шифрования семейства Babuk Ransomware.
Учитывая утечку исходников Babuk Ransomware в 2021 году, налицо все признаки того, что владельцы Synapse использовали функциональные возможности его кода или вообще могли быть связи с его разработчиками.
Анализ показывает, что SynapseCrypter позаимствовал множество функций и у Lambda Ransomware, связанной с группой VoidCrypt.
Изученная стабильная версия Synapse 1.0.0 представляет новый мощный штамм программы-вымогателя с расширенными функциями, с C2, сборщиком полезной нагрузки и системой чата на базе TOR.
Ransomware предотвращает повреждение файлов, использует схемы быстрого шифрования и предлагает гибкие режимы, включая пользовательские параметры.
Помимо упомянутых функций, SynapseCrypter может похвастаться дополнительными возможностями.
Он включает в себя функции сетевого сканирования и возможность репликации на сетевых устройствах с использованием жестко запрограммированных учетных данных, хранящихся в его конфигурации.
SynapseCrypter использует поиск NTFS для просмотра файлов и CHACHA8 для их шифрования, проверяет наличие файлов и папок в белом списке перед шифрованием, поддерживает очистку теневых копий и самоудаление.
После шифрования Synapse производит переименование файлов, изменение обоев и значков, а также удаление данных.
В отличие от некоторых других программ-вымогателей, Synapse не задействует сайт утечки данных. Вместо этого его операторы взаимодействуют с жертвами через TOR для переговоров о выкупе.
Ресерчеры отмечают, что появление Synapse RaaS подчеркивает динамично меняющийся ландшафт угроз ransomware, где новая ransomware с его избирательным подходом к шифрованию и заимствованными функциями у других штаммов представляет серьезную угрозу.
Одна из основных замеченных особенностей вредоносного ПО - это выполнение проверки часового пояса и языка системы, приводящая к завершению работы, если обнаружено, что какая-либо из них базируется в Иране.
Кроме того, Synapse шифрует данные телеметрии перед отправкой их на сервер C2 с использованием специального алгоритма с примечательной входной строкой: “Chuong Dong looks like <REDACTED>!!”
Та же строка используется в методологии шифрования семейства Babuk Ransomware.
Учитывая утечку исходников Babuk Ransomware в 2021 году, налицо все признаки того, что владельцы Synapse использовали функциональные возможности его кода или вообще могли быть связи с его разработчиками.
Анализ показывает, что SynapseCrypter позаимствовал множество функций и у Lambda Ransomware, связанной с группой VoidCrypt.
Изученная стабильная версия Synapse 1.0.0 представляет новый мощный штамм программы-вымогателя с расширенными функциями, с C2, сборщиком полезной нагрузки и системой чата на базе TOR.
Ransomware предотвращает повреждение файлов, использует схемы быстрого шифрования и предлагает гибкие режимы, включая пользовательские параметры.
Помимо упомянутых функций, SynapseCrypter может похвастаться дополнительными возможностями.
Он включает в себя функции сетевого сканирования и возможность репликации на сетевых устройствах с использованием жестко запрограммированных учетных данных, хранящихся в его конфигурации.
SynapseCrypter использует поиск NTFS для просмотра файлов и CHACHA8 для их шифрования, проверяет наличие файлов и папок в белом списке перед шифрованием, поддерживает очистку теневых копий и самоудаление.
После шифрования Synapse производит переименование файлов, изменение обоев и значков, а также удаление данных.
В отличие от некоторых других программ-вымогателей, Synapse не задействует сайт утечки данных. Вместо этого его операторы взаимодействуют с жертвами через TOR для переговоров о выкупе.
Ресерчеры отмечают, что появление Synapse RaaS подчеркивает динамично меняющийся ландшафт угроз ransomware, где новая ransomware с его избирательным подходом к шифрованию и заимствованными функциями у других штаммов представляет серьезную угрозу.