کسپرسکی به تازگی با گونه جدیدی از باجافزار Mimic تحت عنوان «Elpaco» با ویژگیهای سفارشیسازی جالب مواجه شده است.
بر اساس گزارش کسپرسکی نفوذگران پس از حمله brute force موفق توانستند از طریق RDP به سرور قربانی متصل شوند و اقدام به راهاندازی باجافزار کنند. سپس نفوذگران با استفاده از آسیبپذیری CVE-2020-1472 (Zerologon) سطح دسترسی خود را ارتقا دادند. نوع شناسایی شده از Everything DLL سوء استفاده میکند و یک رابط کاربری گرافیکی با کاربری آسان برای مهاجم فراهم میسازد تا عملیات انجام شده توسط بدافزار را سفارشی کند.
افزون بر این، Elpaco دارای ویژگیهایی برای غیرفعالسازی راهکارهای امنیتی و اجرای دستورات سیستم است و پس از رمزگذاری فایلها خود را حذف میکند تا از شناسایی و تجزیه و تحلیل فرار کند. اعتقاد بر این است که الگوریتم رمزگذاری، رمزگشایی فایلها را در دستگاه آلوده بدون کلید خصوصی غیر ممکن و مقابله با این تهدید را دشوار میسازد. باجافزار Elpaco حاوی فایلهایی با پسوندهایی به همین نام است.
https://securelist.com/elpaco-ransomware-a-mimic-variant/114635/
