Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

IronChain: уничтожитель в маске вымогателя с RSA-4096

4 мин
Новый сложный образец вредоносного ПО, получивший обозначение IronChain, маскируется под семейство программ-вымогателей, но по сути функционирует как намеренный уничтожитель данных. По содержанию отчета, IronChain построен таким образом, что восстановление информации становится практически невозможным — даже при оплате выкупа. IronChain сочетает несколько техникй, характерных как для традиционных ransomware, так и для программы типа wiper. Основные технические особенности: Атака IronChain проводится в четко структурированных этапах: «даже возможная оплата за расшифровку бессмысленна» Полный комплекс действий IronChain — от шифрования с использованием мощной асимметричной криптографии до разрушения MFT и загрузочных записей — делает восстановление данных трудновыполнимой задачей. Комбинация атак на файловую систему и загрузочную инфраструктуру, а также меры по подавлению системных инструментов восстановления, превращают инцидент в катастрофу для большинства организаций. IronChain демон
Оглавление

Новый сложный образец вредоносного ПО, получивший обозначение IronChain, маскируется под семейство программ-вымогателей, но по сути функционирует как намеренный уничтожитель данных. По содержанию отчета, IronChain построен таким образом, что восстановление информации становится практически невозможным — даже при оплате выкупа.

Ключевые выводы

  • IronChain использует криптографию RSA-4096 для шифрования файлов и не сохраняет приватный ключ на диске — ключ генерируется в памяти и выбрасывается после использования.
  • Вредоносный бинарник собран с помощью PyInstaller на Python 3.14, имеет конкретный хеш SHA256 и превышает 10 МБ, что указывает на сложный полезный груз с минимальной упаковкой.
  • Поведение состоит из нескольких фаз: шифрование файлов, прямой доступ к таблице файлов NTFS (MFT) и перезапись загрузочных записей для BIOS и UEFI — все это существенно снижает шансы восстановления системы.

Технический разбор

IronChain сочетает несколько техникй, характерных как для традиционных ransomware, так и для программы типа wiper. Основные технические особенности:

  • Криптография: шифрование выполняется с использованием RSA-4096. Закрытый ключ не сохраняется на диске и выбрасывается из памяти после шифрования, что делает расшифровку невозможной даже при оплате.
  • Работа с файловой системой: после первоначального шифрования IronChain получает доступ к основной файловой таблице NTFS (MFT) и модифицирует её напрямую, дополнительно разрушая индекс файловой системы.
  • Повреждение загрузчика: вредонос уничтожает/перезаписывает загрузочные записи как для устаревших систем, так и для UEFI, что значительно осложняет восстановление ОС.
  • Упаковка и идентификация: исполняемый файл упакован PyInstaller, имеет конкретный хеш SHA256 и размер более 10 МБ, что отражает большой и слабо упакованный полезный груз.

Сценарий атаки: фазы и методы

Атака IronChain проводится в четко структурированных этапах:

  • Эскалация и маскировка: проверка административных привилегий, перемещение себя в скрытый исполняемый файл в директории Windows System32, изменение атрибутов для маскировки под легитимные системные файлы.
  • Установление постоянства и подавление защиты: модификация ключей реестра, отключение системных инструментов восстановления, ограничение доступа к таким функциям, как Диспетчер задач и UAC.
  • Разрушение и ввод в заблуждение: отключение Восстановления системы и размещение записок с требованиями выкупа в разных форматах; записки при этом вводят в заблуждение, создавая ложную надежду на восстановление.
  • Финальный урон: после шифрования — уничтожение инфраструктуры загрузки и индекса файловой системы, что делает восстановление данных фактически невозможным.
  • Сопутствующие сетевые активности: запуск DDoS-атаки на домен с опечатками как отвлекающий маневр и распространение внутри локальных сетей через общие ресурсы.
  • Блокировка ввода: установка низкоуровневого keyboard hook для блокировки пользовательского ввода, после чего происходит принудительное завершение работы системы.
«даже возможная оплата за расшифровку бессмысленна»

Последствия для пострадавших систем

Полный комплекс действий IronChain — от шифрования с использованием мощной асимметричной криптографии до разрушения MFT и загрузочных записей — делает восстановление данных трудновыполнимой задачей. Комбинация атак на файловую систему и загрузочную инфраструктуру, а также меры по подавлению системных инструментов восстановления, превращают инцидент в катастрофу для большинства организаций.

Что это означает для отрасли

IronChain демонстрирует, что современные угрозы эволюционируют в сторону гибридных образцов, которые объединяют функциональность ransomware и wiper. Такие образцы ориентированы не на получение выкупа, а на максимизацию ущерба и подрыв возможности восстановления. Это требует от команд по информационной безопасности пересмотра подходов к резервному копированию, сегментации сетей и защите критических метаданных файловых систем.

Вывод

IronChain — яркий пример того, как злоумышленники переходят от извлечения выгоды к стратегии «максимального вреда». Техническая реализация с использованием RSA-4096, работа с MFT и повреждение UEFI подчёркивают необходимость усиленной готовности и проактивных мер защиты. Организациям следует учитывать, что столкновение с подобным образцом влечет не просто утрату данных, но и серьёзные проблемы с восстановлением инфраструктуры.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "IronChain: уничтожитель в маске вымогателя с RSA-4096".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются