Бесплатно Экспресс-аудит сайта:

19.04.2022

Обзор инцидентов с участием программ-вымогателей за период с 11 по 18 апреля 2022 года

На прошлой неделе итальянский модный бренд Ermenegildo Zegna подтвердил атаку программы-вымогателя в августе 2021 года, которая привела к обширному сбою IT-систем. Подробности об инциденте стали известны после подачи формы SEC 424B3 , которая призвана предупредить инвесторов о рисках нарушения бизнеса и утечках данных в результате кибератак. Кибератака произошла в августе 2021 года, затронув большинство IT-систем компании. Как сообщили представители Zegna, компания не вступала в переговоры со злоумышленниками касательно уплаты выкупа, поэтому им пришлось восстанавливать данные из резервных копий в течение нескольких недель после инцидента.

Исследователь в области кибербезопасности, использующий псевдоним PCrisk, обнаружил новую программу-вымогатель, которая добавляет расширение .blockZ к зашифрованным файлам и оставляет записку с требованием выкупа под названием How To Restore Your Files.txt. PCrisk также обнаружил новую программу-вымогатель под названием Democracy Whisperers, которая добавляет расширение .democ и оставляет записку с требованием выкупа под названием Restore Files.txt. Программа-вымогатель основана на утечке исходного кода Babuk.

PCrisk выявил новый вариант вымогателя Snatch с расширением .sdhvqq, новые варианты программы-вымогателя STOP, которые добавляют расширения .ghas, .hajd, .qall, .qpss, новый вариант MedusaLocker, добавляющий расширение .stopfiles к зашифрованным файлам, и новые варианты Makop, которые добавляют расширения .phmqdw и .sessions к зашифрованным файлам.

Специалисты из компании Sophos рассказали подробности о кибератаке неизвестных группировок на сети регионального правительственного агентства США. Хакеры провели более пяти месяцев в поисках нужной информации, а две или более группировок были активны в сети жертвы до того, как последняя развернула полезную нагрузку программы-вымогателя Lockbit. В течение всего периода атаки хакеры использовали браузер Chrome для поиска (и загрузки) хакерских инструментов на скомпрометированный компьютер, где они получили свой первоначальный доступ. Хотя злоумышленники удалили многие журналы событий с подконтрольных систем, экспертам удалось обнаружить некоторые цифровые следы.

Русскоязычная группа вымогателей OldGremlin провела две новые атаки на российские компании в конце марта, обыгрывая тему санкций и уход платежных систем Visa и Mastercard из России.

Вымогательская группировка Conti взяла на себя ответственность за недавнюю кибератаку на гиганта ветряных турбин Nordex. Из-за кибератаки компании пришлось отключить IT-системы компании, а также запретить удаленный доступ к управляемым турбинам. 2 апреля Nordex сообщила, что подверглась кибератаке, которая была обнаружена на раннем этапе. Специалисты компании отключили IT-системы, чтобы предотвратить распространение атаки.

Исследователи в области кибербезопасности обнаружили связь между программой-вымогателем Conti и недавно появившейся вымогательской группировкой Karakurt. Conti — одна из самых плодовитых группировок киберпреступников на сегодняшний день, которая не ослабевает, несмотря на масштабную утечку внутренних разговоров и исходного кода. Karakurt действует по крайней мере с июня 2021 года. Хакеры крадут данные у компаний, а потом принуждают их к выплате выкупа, угрожая опубликовать похищенную информацию. Примерно за два месяца (с сентября по ноябрь 2021 года) жертвами Karakurt стали более 40 организаций.