Хотя в целом ИБ-эксперты уже давно говорят о снижении активности наборов эксплоитов, многие из них по-прежнему остаются «в строю», продолжают совершенствоваться и менять полезную нагрузку. Один из таких давно известных исследователям игроков — эксплоит-кит RIG.
Недавно специалисты обратили внимание, что RIG начал распространять шифровальщика Eris, впервые замеченного в мае 2019 года. Первым вымогателя обнаружил исследователь Майкл Гиллеспи (Michael Gillespie), когда малварь засветилась на ID Ransomware. Вымогатель шифрует файлы своих жертв, изменяя их расширения на .ERIS
Теперь независимый ИБ-специалист, известный под псевдонимом nao_sec, заметил, что в новой кампании RIG в качестве полезной нагрузки используется именно Eris.
#RigEK 185.43.7.149 -> #ERIS Ransomware
— nao_sec (@nao_sec) July 7, 2019
(CC: @malware_traffic, @jeromesegura, @BleepinComputer)https://t.co/xJqsmIH0Vu pic.twitter.com/ElKujiyGsZ
По данным исследователя, для распространения шифровальщика используется рекламная сеть popcash и вредоносная реклама, с помощью которой пользователей перенаправляют на ресурсы, где размещен RIG.
В данной кампании набор эксплоитов в основном полагается на использование уязвимости в Shockwave (SWF), и если атака удалась, заражает машину жертвы вымогателем Eris. Исследователи отмечают, что способа расшифровать пострадавшие от Eris файлы, не выплачивая злоумышленникам выкуп, увы, пока нет.