Обзор инцидентов с участием программ-вымогателей за период с 20 по 27 декабря 2021 года

Прошедшая неделя ознаменовалась активной эксплуатацией уязвимости Log4Shell в библиотеке с открытым исходным кодом Java Log4j. Сетевые администраторы и исследователи в области кибербезопасности предупредили об атаках со стороны партнеров вымогательских группировок и операторов банковских троянов.

Исследователь в области кибербезопасности, использующий псевдоним PCrisk , обнаружил новый вариант программы-вымогателя STOP, который добавляет расширение .nnqp к зашифрованным файлам, новый вариант вымогателя Dharma, добавляющий расширение .C1024, и новый вариант вымогателя Phobos, добавляющий расширение .health к зашифрованным файлам.

Специалисты компании ESET выявили новую версию программы-вымогателя SFile для FreeBSD. Операторы вредоноса атаковали неназванную государственную компанию в Китае. Программа-вымогатель SFile использует библиотеку Mbed TLS, алгоритмы RSA-2048 и AES-256 для шифрования файлов. У вредоноса нет собственного портала — злоумышленники общаются с жертвами по электронной почте

ИБ-эксперты из компании NCC Group сообщили , что количество атак с использованием программ-вымогателей в ноябре 2021 года сильно увеличилось, а тактика двойного вымогательства продолжает оставаться мощным инструментом в арсенале злоумышленников. В ноябре в центре внимания оказалась группа вымогателей PYSA (также известная как Mespinoza), частота атак которой возросла на 50%. Другими доминирующими группировками стали Lockbit и Conti, которые начали организовывать атаки на критически важные объекты.

Исследователь в области кибербезопасности Якуб Кроустек (Jakub Kroustek) обнаружил новый вариант программы-вымогателя Dharma, добавляющий расширение .RED.

Вымогательская группировка AvosLocker в ходе своих недавних атак сосредоточилась на отключении решений безопасности оконечных точек, перезагружая скомпрометированные системы под управлением Windows в безопасном режиме. Подобная тактика упрощает шифрование файлов жертв, поскольку большинство защитных решений автоматически отключается после загрузки Windows-устройств в безопасном режиме.

Исследователь в области кибербезопасности, использующий псевдоним S! Ri, обнаружил новую программу-вымогатель, которая добавляет расширение .surtr к зашифрованным файлам.

На кибервымогательскую арену вышел новый игрок под названием Rook. Участники группировки объявили об отчаянной необходимости заработать «много денег» путем взлома корпоративных сетей и устройств шифрования. Полезная нагрузка Rook доставляется на атакуемую систему через Cobalt Strike, который в свою очередь попадает на устройство с помощью фишинговых писем или загрузки torrent-файлов.

Французская IT-компания Inetum Group подверглась атаке с использованием вымогательского ПО, затронувшей бизнес и клиентов. Кибератака затронула некоторые бизнес-операции компании во Франции, однако не повлияла на более крупные инфраструктуры, используемые клиентами.