Обзор инцидентов с участием программ-вымогателей за период с 5 по 12 апреля 2021 года
12 апреля 2021 года
Прошедшая неделя ознаменовалась рядом интересных сообщений об инцидентах, связанных с вымогательским ПО. Например, операторы программы-вымогателя Cring атаковали на два производственных предприятия, принадлежащих европейскому производителю. Преступники загрузили новую версию вымогательского ПО Cring и зашифровали серверы, контролирующие производственные процессы. Операторы вымогателя перехватили контроль над сетями предприятий, используя уязвимость ( CVE-2018-13379 ) в серверах Fortinet Fortigate VPN. Уязвимость обхода каталогов позволяет неавторизованным злоумышленникам получить файл сеанса, содержащий логин и пароль открытым текстом для VPN.
IT-системы Национального колледжа Ирландии (NCI) и Дублинского технологического университета стали жертвами атак вымогательского ПО. Доступ к IT-системам NCI был приостановлен, а здание кампуса было закрыто как для студентов, так и для персонала до восстановления работы систем.
Исследователь безопасности, использующий псевдоним dnwls0719, обнаружил программу-вымогатель Jormungand, которая добавляет расширение.glock к зашифрованным файлам. Эксперт также выявил новые варианты программы-вымогателя VHD, добавляющие расширение.beaf и.gehenna к зашифрованным файлам.
Разработанный дешифратор программы-вымогателя Avaddon демонстрирует, как злоумышленники стараются поддерживать Windows XP для получения выгоды. Если организация использует Windows XP и атака программы-вымогателя шифрует устройство, злоумышленники приходится поддерживать операционную систему, если они хотят получить выкуп. Visual Studio 2019 больше не может компилироваться для Windows XP. Преступникам необходимо использовать Visual Studio 2017 и старый компилятор XP. В связи с этим злоумышленники компилируют свой обычный дешифратор в новой версии Visual Studio, используя старую версию VC ++ для поддержки дешифратора Windows XP. Об этом сообщило издание Bleeping Computer.
Недавние изменения в вымогательском ПО REvil теперь позволяют ему автоматизировать процесс шифрования файлов в безопасном режиме после смены пароля Windows. Как в прошлом месяце сообщал SecurityLab, вымогательское ПО REvil/Sodinokibi получило новую функцию шифрования файлов в безопасном режиме Windows (Windows Safe Mode). Windows Safe Mode можно включить с помощью аргумента командной строки -smode, перезагружающего устройство в безопасном режиме, после чего начинается шифрование файлов.
Исследователь безопасности, использующий псевдоним S!Ri, обнаружил новую программу-вымогатель под названием Wintenzz Security Tool, которая добавляет расширение.wintenzz к зашифрованным файлам и отправляет записку о выкупе с именем BUY_WINTENZZ.txt.
Исследователь безопасности Майкл Гиллеспи (Michael Gillespie) обнаружил новый вариант вымогателя STOP, который добавляет расширение.lmas к зашифрованным файлам.
Киберпреступная группировка, ответственная за операции программ-вымогателей Maze и Egregor, заработала на выкупах не менее $75 млн в биткойнах в результате атак на компании по всему миру. Maze и Egregor заняли второе и третье место по активности RaaS-сервисов на рынке, указав на своих сайтах утечек данных около четверти всех жертв вымогателей.
Исследователь безопасности, использующий псевдоним GrujaRS, обнаружил новую программу-вымогатель под названием RIP_lmao, которая добавляет расширение.crypted и отправляет записку с требованием выкупа ___ RECOVER__FILES __. Crypted.txt.
Ведущая французская фармацевтическая компания Pierre Fabre подверглась кибератаке с использованием вымогателя REvil. В результате инцидента производство на ее предприятиях было частично приостановлено. Злоумышленники потребовали выкуп в размере $25 млн.
Источники[править]
Эта статья содержит материалы из статьи «Обзор инцидентов с участием программ-вымогателей за период с 5 по 12 апреля 2021 года», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.