Magnitude 漏洞開發工具包（EK）在過去的發展規模中一直引人注目并被網絡犯罪分子用于亞洲多個國家肆意傳播。奇怪的是，該漏洞開發工具包于今年 9 月下旬突然消失，起初研究人員以為這僅僅是 EK 研發失敗的情景，但就在近期，該工具包重新出現并新添有效負載–勒索軟件 Magniber。

Magnitude 漏洞開發工具包最早可追溯至 2013 年，其主要包含諸如加密類的勒索軟件。調查顯示，攻擊者利用該漏洞開發工具包過濾客戶 IP 地址與系統語言的地理位置后傳遞有效負載。這是一種網絡犯罪分子常用的主要技術工具，旨在規避研究人員檢測。目前，該工具包只通過漏洞（2016-2016-0189）檢索執行有效負載。

據悉，Magniber 是一款針對性較強的勒索軟件，可通過多個級別（外部 IP、安裝語言等）檢測目標系統，以確保受攻擊設備僅為韓國用戶。此外，勒索軟件 Magniber 由 Magnitude 漏洞開發工具包進行分配。

調查顯示，勒索軟件 Magniber 僅在檢測到韓語的系統上才會開始惡意操作，如果惡意軟件于非韓系統執行，其研究人員唯一能看到的操作就是通過其運行 ping 命令刪除自身程序。

一旦入侵韓國系統，其惡意軟件將以 ％TEMP％ 方式復制設備機密數據，并在任務調度程序的幫助下部署自身。據悉，研究人員在系統的多個文件夾中除了發現同一勒索贖金信函外，還檢測到另一文檔，它的名稱與為特定用戶生成的域名相同、擴展名與加密文件的擴展名相同。此外，每份加密文件都添加了同一個由拉丁文字符組成的擴展名，并且對于特定的 Magniber 樣本來說固定不變，這意味著每份文件都使用完全相同的密鑰進行加密。
研究人員表示，受害者的頁面只顯示英文。雖然它的模板與此前勒索軟件 Cerber 使用的模板極其相似，但內部完全不同。此外，Magniber 是在 CBC 模式下使用 AES 128 位加密文件并在 Windows Crypto API 的幫助下執行與傳播。
目前，雖然攻擊者正積極瞄準韓國用戶分發勒索軟件 Magniber，但研究人員尚不清楚幕后黑手真正意圖。對此，他們將持續跟進此次事件并提醒各用戶加強防御體系，以抵御大規模攻擊事件的發生。