Злонамереният софтуер Betruger е най-новият инструмент, използван от операцията RansomHub за ransomware като услуга (RaaS).

Изследователи от компанията за киберсигурност Symantec са открили многофункционална задна врата, която изглежда е разработена специално за извършване на атаки с рансъмуер.

Задната врата Betruger притежава функционалност, използвана в инструментите преди рансъмуера, като например правене на скрийншоти, записване на клавиши, сканиране на мрежата, изхвърляне на данни за удостоверения и качване на файлове на сървър за управление и контрол.

„Имената на файловете, използвани за версиите на този зловреден софтуер, включват mailer.exe и turbomailer.exe. Задната врата не съдържа функционалност за изпращане на пощенски съобщения. Възможно е нападателите да са използвали това име, за да се маскират като легитимно приложение“, твърди Symantec.

Съобщава се, че функционалността на Betruger показва, че той може да е разработен с цел да се сведе до минимум броят на новите инструменти, пуснати в целевата мрежа, докато се подготвя атака с ransomware.

Symantec отбелязва, че е сравнително необичайно да се разработва персонализиран зловреден софтуер за ransomware атаки, тъй като повечето нападатели използват съществуващи инструменти. Въпреки това персонализираният зловреден софтуер се използва най-вече за ексфилтрация на данни.

Задната врата на Betruger е била забелязана в няколко атаки от RansomHub през последните месеци.

Инструментът, който е отговорен за най-голям брой заявени атаки, се управлява от Greenbottle.