Το Rhino είναι ένα νέο κακόβουλο λογισμικό, που αναγνωρίστηκε για πρώτη φορά τον Απρίλιο του 2020, το οποίο έχει αναλυθεί από το VMRay Labs στο ιστολόγιό τους. Το τελευταίο δείγμα (εκ των οποίων ήταν η βάση για ανάλυση) ανακαλύφθηκε από τον χρήστη Twitter @GrujaRS στις 4 Μαΐου.

Το εν λόγω λογισμικό εμπίπτει στην κατηγορία Ransomware και διαθέτει πολλές δυνατότητες, όπως, απενεργοποίηση υπηρεσιών, παρεμπόδιση της ανάκτησης αντιγράφων ασφαλείας, διαγραφή σκιωδών αντιγράφων και επιμονή. 

Το πρώτο βήμα της μόλυνσης απενεργοποιεί αρκετές υπηρεσίες Windows Security and Defender, καθώς και την υπηρεσία Windows Update και αναφορές σφαλμάτων. Επιπλέον, το ransomware επιχειρεί να σταματήσει το Microsoft Exchange, το sqlserver και το sqlwriter. Η διακοπή αυτών των υπηρεσιών οδηγεί τους ερευνητές να πιστεύουν ότι τα στοχευόμενα θύματα θα μπορούσαν να είναι επιχειρήσεις. Το επόμενο βήμα είναι η διαγραφή σκιωδών αντιγράφων και του εφεδρικού καταλόγου, καθώς και η Λειτουργία ανάκτησης των Windows. Η επιμονή επιτυγχάνεται μέσω καταχώρησης μητρώου και αντιγραφής στον κατάλογο% AppData% ως mshtop32bit.exe. Μετά την κρυπτογράφηση αρχείων, προστίθεται ένας δείκτης αρχείου "Marvel01. Μια σημείωση email περιλαμβάνεται στη σημείωση email λύτρων. Οι εξαιρούμενοι τύποι αρχείων είναι .EXE, .SYS, .LNK, .DLL, .MSI και οι σημειώσεις του ransomware. 

Συστάσεις

• Βεβαιωθείτε ότι το λογισμικό προστασίας από ιούς και τα σχετικά αρχεία είναι ενημερωμένα.
• Αναζητήστε υπάρχοντα σημάδια των υποδεικνυόμενων IoC στο περιβάλλον σας.
• Εξετάστε το ενδεχόμενο να αποκλείσετε ή να ρυθμίσετε τον εντοπισμό για όλα τα IoC που βασίζονται σε URL και IP.
• Διατηρήστε την εκτέλεση εφαρμογών και λειτουργικών συστημάτων στο τρέχον επίπεδο ενημερωμένης έκδοσης κώδικα.
• Να είστε προσεκτικοί με συνημμένα και συνδέσμους σε email.

Περισσότερες πληροφορίες

Περισσότερες λεπτομέρειες μπορούν να μπορείτε να βρείτε στην αναφορά που βρίσκεται στην ενότητα αναφοράς παρακάτω

https://www.vmray.com/cyber-security-blog/rhino-ransomware-malware-analysis-spotlight/