PYSA Gang использует троян ChaChi для доставки программ-вымогателей

Банды программ-вымогателей часто полагаются на широкий спектр семейств вредоносных программ для получения полного контроля над зараженными системами, а также для горизонтального распространения по целым сетям. Одна из банд вымогателей, которая недавно представила в своем арсенале нового трояна, - это банда PYSA Ransomware или Mespinoza Ransomware. Якобы они используют ранее необнаруженного троянца ChaChi. Он уже использовался в атаках на базирующиеся в США организации, работающие в правительственном и образовательном секторах.

Как и многие другие разработчики вредоносных программ, банда PYSA также решила полагаться на язык программирования Golang. Все больше и больше киберпреступников используют Golang, потому что его вредоносное поведение технически немного сложнее обнаружить. Это увеличивает шансы банды PYSA уклониться от антивирусных инструментов и других продуктов сетевой безопасности.

Но что делает троян ChaChi?

Троян ChaChi выглядит хорошо разработанным проектом, который имеет функции и свойства, типичные для трояна удаленного доступа (RAT). Угроза способна сохранять постоянство на скомпрометированных машинах Windows, злоупотребляя ключами реестра Windows, а также службой планирования задач. . Кроме того, его операторы получают возможность доступа к файловой системе и управления ею, кражи учетных данных, создания прокси-серверов, выполнения удаленных команд и многого другого.

Несмотря на все эти причудливые функции, многие из недавних атак с участием троянца ChaChi имели одну конечную цель - избавиться от имплантата вымогателя. Разумеется, в этих атаках банда PYSA использовала собственные программы-вымогатели. Преступники не преследуют обычных потребителей, а вместо этого нацеливаются на важные цели, которые могут заплатить сотни тысяч долларов, чтобы вернуть свои данные.

К целям троянца ChaChi можно подходить с помощью мошеннических электронных писем с просьбой просмотреть вложение или загрузить файл. Сотрудники должны быть осторожны со случайными электронными письмами с просьбой взаимодействовать с вложениями. Кроме того, их рабочие станции должны регулярно обновляться и защищаться надежными антивирусными средствами.