Обзор инцидентов с участием программ-вымогателей за период с 13 по 20 декабря 2021 года

Самой громкой новостью прошлой недели была публикация PoC-кода для эксплуатации уязвимости удаленного выполнения кода ( CVE-2021-44228 ) Log4j, получившей название Log4Shell. Вскоре организация Apache Software Foundation выпустила экстренное обновление безопасности, исправляющее проблему.

Киберпреступники начали активно искать и эксплуатировать уязвимость Log4Shell для установки вредоносных программ. Уязвимость позволяет злоумышленникам удаленно выполнить код на уязвимом сервере, просто выполнив поиск или изменив пользовательский агент браузера на специальную строку.

Вскоре после этого была обнаружена вымогательская группировка под названием Khonsari, нацеленная на уязвимые серверы Minecraft. Отсутствие данных для уплаты выкупа позволяет классифицировать Khonsari как деструктивное вредоносное ПО типа вайпер, использующееся для выведения из строя серверов Minecraft с целью гриферства или троллинга.

Новую уязвимость также начали эксплуатировать операторы вымогательского ПО Conti в своих атаках. С ее помощью они получают быстрый доступ к внутренним установкам VMware vCenter Server, после чего шифруют виртуальные машины с целью получения выкупа. Таким образом, Conti стала первой крупной киберпреступной группировкой, использующей данную проблему.

Румынские правоохранительные органы арестовали партнера вымогательской группировки, подозреваемого во взломе сетей и краже конфиденциальной информации у нескольких известных компаний по всему миру, включая крупную румынскую IT-компанию.

Производитель решений для управления персоналом Kronos подвергся кибератаке с использованием вымогательского ПО, которая вывела из строя его облачные продукты. Решения UKG, не зависящие от Kronos Private Cloud, в том числе UKG Pro, UKG Ready и UKG Dimensions, не пострадали. Организации, использующие для решений UKG собственный хостинг, также не были затронуты инцидентом.

Исследователь в области кибербезопасности Майкл Гиллеспи (Michael Gillespie) обнаружил образец новой программы-вымогателя White Rabbit, которая добавляет расширение .scrypt к зашифрованным файлам.

Операторы вредоносной программы Emotet устанавливают маяки Cobalt Strike для ускорения кибератак. Emotet теперь загружает модули Cobalt Strike непосредственно со своего командного сервера, а затем выполняет их на зараженном устройстве. С маяками Cobalt Strike злоумышленники могут перемещаться по сети жертвы, похищать файлы и устанавливать другие вредоносы.

Исследователь в области кибербезопасности, использующий псевдоним PCrisk, обнаружил новые варианты программы-вымогателя STOP, которые добавляют расширение .Shgv и .hudf к зашифрованным файлам.

Портлендская сеть пивоваренных заводов и отелей McMenamins пострадала в от атаки с использованием программы-вымогателя Conti которая нарушила работу компании. Как сообщило издание Bleeping Computer, ходе атаки были зашифрованы серверы и рабочие станции, в том числе системы торговых точек.

Команда специалистов Threat Hunter Team компании Symantec сообщила о новом вымогательском ПО под названием Noberus. Вредонос написан на языке программирования Rust. Группировка осуществляет типичные атаки с применением тактики двойного вымогательства, похищая информацию из сетей жертвы и требуя выкуп. Noberus добавляет расширение .sykffle к зашифрованным файлам.

Немецкая логистическая компания Hellmann Worldwide Logistics предупредила своих клиентов об увеличении числа BEC-атак (Business Email Compromise) после того, как стала жертвой атаки вымогателя RansomEXX.

Исследователь в области кибербезопасности, использующий псевдоним dnwls0719, обнаружил новый вариант программы-вымогателя Dharma, который добавляет расширение .C1024 к зашифрованным файлам.