Исследователи компании Cyble, занимающейся кибербезопасностью, опубликовали технический анализ новой программы-вымогателя, известной как «AXLocker». Помимо обычного шифрования данных, выполняемого программой-вымогателем, AXLocker также ищет в системах жертв токены входа в систему Discord, а затем передает эти токены злоумышленнику, стоящему за программой-вымогателем. Пока жертвы заняты восстановлением своих зашифрованных данных, злоумышленник может использовать эти украденные учетные данные для доступа к учетным записям Discord, которые злоумышленник может использовать для дальнейшего распространения программы-вымогателя.

Программы-вымогатели вызывают растущую озабоченность в области информационной безопасности. Буквально на прошлой неделе Федеральное бюро расследований (ФБР) и другие правительственные учреждения США выпустили совместный бюллетень по кибербезопасности, предупреждая специалистов по кибербезопасности о банде Hive Ransomware, которая украла в общей сложности 100 миллионов долларов у более чем 1300 организаций. За две недели до публикации этого информационного бюллетеня Белый дом созвал второй Международный саммит по борьбе с программами-вымогателями. В преддверии мероприятия высокопоставленный чиновник администрации Байдена предупредил, что рост атак программ-вымогателей опережает возможности США по борьбе с ними.

Этот рост стимулирует новые инновации в сфере программ-вымогателей, и разработчики вредоносных программ для Android пытаются принять участие в этом, добавляя возможности программ-вымогателей в свое вредоносное ПО. Уже созданная банда вымогателей также экспериментирует с использованием повреждения данных вместо их шифрования. Добавление похитителя учетных записей Discord, как видно из AXLocker, знаменует собой дальнейшие эксперименты среди разработчиков программ-вымогателей.

После шифрования большинства данных, хранящихся на зараженных машинах Windows, AXLocker проверяет системы на наличие каталогов Discord, а также каталогов браузеров Brave, Chrome, Opera и Яндекс. Если программа-вымогатель находит эти каталоги и хранящиеся в них токены аутентификации Discord, AXLocker извлекает токены, отправляя их субъекту угрозы, проводящему эти атаки программ-вымогателей. Независимо от того, находит ли AXLocker какие-либо токены аутентификации Discord или нет, программа-вымогатель также собирает системную информацию, включая имя компьютера, имя пользователя, IP-адрес и системный UUID (универсальный уникальный идентификатор), и передает ее злоумышленнику.

После того как AXLocker выполнил все свои гнусные задачи, он открывает окно, информирующее пользователя о том, что файлы в уязвимой системе были зашифрованы закрытым ключом. Чтобы получить этот закрытый ключ и расшифровать свои файлы, в записке о выкупе пользователю предлагается связаться со злоумышленником и заплатить выкуп в течение установленного срока. Таймер в верхней части окна отсчитывает оставшееся время до удаления закрытого ключа. В записке о выкупе не упоминаются какие-либо украденные токены аутентификации Discord, поэтому жертвы не обращают внимания на акт кражи, совершенный программой-вымогателем. В противном случае жертвы могут знать, что нужно немедленно изменить свои пароли Discord, чтобы сделать украденные токены входа недействительными.