June 13, 2022

Обзор инцидентов с участием программ-вымогателей за период с 7 по 13 июня 2022 года

Краткий обзор инцидентов безопасности с использованием вымогательского ПО за неделю.

Прошлая неделя оказалась сравнительно спокойной с точки зрения кибервымогательских атак. Тем не менее, сказать, что кибервымогатели ушли в летний отпуск, нельзя.

Компания Advanced Intel опубликовала подробный отчет о деятельности кибервымогательской группировки BlackCat/AlphV, группировка Black Basta стала использовать QBot для бокового перемещения по скомпрометированной сети, появился новый вымогатель для Linux, а вымогательское ПО Cuba снова вернулось в строй. Об этих и других событиях прошлой недели с участием вымогательского ПО читайте в нашем обзоре.

Аналитики NCC Group сообщили о том, что группировки QBot и Black Basta начали сотрудничать друг с другом. В частности, Black Basta стала использовать QBot для бокового перемещения по скомпрометированным сетям. После запуска QBot может заражать общие сетевые ресурсы и диски, а также использовать SMB протокол (Server Message Block) для создания копий себя или распространения через общие ресурсы администратора, используя учетные данные пользователя.

Итальянский город Палермо подвергся кибератаке, негативно сказавшейся на целом спектре услуг и операций. Инцидент затронул городские системы видеонаблюдения, центральное отделение полиции и все муниципальные сервисы. В результате инцидента воспользоваться любой общественной услугой, в основе которой лежит цифровая система, стало невозможно. Все указывает на то, что Палермо стал жертвой вымогательского ПО. К примеру, власти города сообщили, что все информационные системы были отключены и изолированы от сети, а это является типичными действиями в случае атак вымогательского ПО.

Специалисты израильской ИБ-компании KELA выявили необычную тенденцию среди кибервымогательских группировок – на начальном этапе переговоры об уплате выкупа проводятся с сохранением инкогнито жертвы. То есть, вымогатели стараются держать переговоры втайне от широкой общественности, позволяя жертвам сохранить свою репутацию. Группировки Midas, Lorenz и Everest указывают на своих сайтах утечек только размер организации, отрасль и сведения о похищенных данных, но скрывают название, угрожая опубликовать и его, если жертва откажется платить.

Эксперты ИБ-компании Avast создали декриптор для восстановления файлов, зашифрованных вымогательским ПО TaRRaK.

«Вымогательское ПО TaRRaK появилось в июне 2021 года. Код вымогателя содержит много ошибок, поэтому мы решили посвятить ему небольшой блог. Образцы вымогателя были обнаружены в нашей базе, так что мы также создали для него декриптор», - сообщили специалисты.

Специалисты компании PCrisk обнаружили новый вариант вымогательского ПО VoidCrypt, добавляющий к зашифрованным файлам расширение .linda, а также новый вариант вымогателя STOP, добавляющий расширения .bnrs и .eegf.

Аналитики компании Uptycs Threat Research выявили новую версию вымогательского ПО Black Basta для Linux, которая используется в атаках на серверы VMware ESXi.

Компания AdvIntel опубликовала первую часть новой серии отчетов о деятельности кибервымогательской группировки ALPHV (она же BlackCat). Эта часть знакомит с контекстом и предлагает глубокое погружение в технические возможности группировки, которые могут предвещать появление нового поколения злоумышленников в экосистеме киберпреступников.

Операторы вымогательского ПО Cuba снова вернулись в строй, прихватив с собой новую версию вымогателя. Согласно новому отчету исследователей из Trend Micro, с марта по апрель текущего года Cuba уверенно атаковала новых жертв. На ее сайт утечек в сети Tor в апреле были добавлены три жертвы, а в мае – одна. Хотя данные были опубликованы недавно, сами атаки, скорее всего, имели место раньше. Безусловно, четыре жертвы за два месяца выглядят не слишком впечатляюще, однако операторы Cuba известны своим избирательным подходом к тому, кого атаковать. В конце апреля исследователи из Trend Micro выявили новый вариант вымогателя с незначительными добавлениями и изменениями, делающими его еще более опасным.

Операторы вымогательского ПО AvosLocker и Cerber2021 взяли на вооружение недавно исправленную уязвимость в Atlassian Confluence Server и Data Center. Успешная эксплуатация уязвимости (CVE-2022-26134) позволяет неавторизованному атакующему удаленно захватить контроль над уязвимым сервером путем создания новых учетных записей администратора и выполнения произвольного кода. Уязвимость была исправлена в начале текущего месяца, и к тому времени уже эксплуатировалась хакерами. Через некоторое время для нее был опубликован доступный эксплоит.

Исследователь безопасности MalwareHunterTeam обнаружил новую программу-вымогатель WannaFriendMe. Оператор программы не требует заплатить выкуп с помощью криптовалюты, а предлагает купить дешифратор в магазине Roblox Game Pass с помощью Robux.

Исследователи безопасности отмечают всплеск активности вредоноса Hello XD. Вредонос работает довольно просто: шифрует данные и добавляет .hello в конец имени файла. Согласно новому отчету, опубликованному 42 подразделением компании Palo Alto Networks, разработчики программы-вымогателя создали новый шифровальщик, который включает в себя как изменения в методе шифрования, так и специальный пакет, позволяющий избежать обнаружение.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!