Обзор инцидентов с участием программ-вымогателей за период с 15 по 21 марта 2021 года

На минувших выходных стало известно, что один из крупнейших производителей компьютерной техники, тайваньская компания Acer, стала очередной жертвой вымогательской операции REvil. На портале в даркнете, принадлежащем группировке REvil, было указано требование выкупа в размере $50 млн у Acer за восстановление зашифрованных файлов, что является одним из крупнейших выкупов на сегодняшний день.

Также стало известно, что вымогательское ПО REvil получило новую функцию, позволяющую ему шифровать файлы на компьютере жертвы в безопасном режиме Windows (Windows Safe Mode). Вероятно, разработчики вымогателя добавили ее для того, чтобы он мог обходить обнаружение решениями безопасности и эффективнее шифровать файлы.

Исследователь безопасности, использующий псевдоним GrujaRSA, обнаружил новый вариант вымогателя RunExeMemory, добавляющий расширение .z8sj2c к зашифрованным файлам.

Киберотдел Федерального бюро расследований (ФБР) предупредил системных администраторов и специалистов по кибербезопасности об увеличении активности операторов программы-вымогателя Pysa, нацеленных на образовательные учреждения в 12 штатах США и Великобритании.

Представитель REvil, использующий псевдоним Unknown, рассказал об использовании программ-вымогателей в качестве оружия в кибервойне, о политическом нейтралитете вымогателей и пр. По его словам, несколько партнеров REvil имеют доступ к системе запуска баллистических ракет, один — к системам крейсера ВМС США, другой — к устройствам атомной электростанции, а еще один — к системам оружейного завода.

Исследователь безопасности Якуб Кроустек обнаружил новый вариант программы-вымогателя Dharma, который добавляет расширение .liz.

ИБ-эксперт dnwls0719 выявил новый вариант вымогателя Rapid, который добавляет расширение .lock к зашифрованным файлам.

Исследователь безопасности, использующий псевдоним xiaopao, обнаружил новые варианты вымогателя SFile, которые добавляют расширения .sandboxtest, .PROM, .zuadr и .Technomous-zbtrqyd.

Член киберпреступного сообщества, использующий псевдоним Bassterlord, обнаружил уязвимость в программе-вымогателе LockBit, эксплуатация которой позволяла бесплатного дешифровать файлы.

Исследователь безопасности, использующий псевдоним Amigo-A, обнаружил новый вариант программы-вымогателя PewPew под названием Artemis, добавляющий расширение .optimus к зашифрованным файлам.

Исследователь безопасности, использующий псевдоним dnwls0719, обнаружил новый вариант программы-вымогателя STOP Djvu, который добавляет расширение .enfp.