Обзор инцидентов с участием программ-вымогателей за период с 25 апреля по 2 мая 2022 года

Программа-вымогатель Quantum, впервые обнаруженная в августе 2021 года, была использована в быстрых сетевых атаках. Злоумышленники использовали вредоносное ПО IcedID в качестве одного из своих первоначальных векторов доступа, которое развертывает Cobalt Strike для удаленного доступа и приводит к краже данных и шифрованию с помощью Quantum. Специалисты The DFIR Report проанализировали атаки программы-вымогателя Quantum. Атака длилась всего 3 часа 44 минуты с момента первоначального заражения до завершения шифрования устройств.

Появившаяся в прошлом месяце новая кибервымогательская группировка Black Basta не стала медлить, а сразу же активно принялась за «работу» – всего за несколько недель она атаковала как минимум 12 компаний. Свою первую атаку Black Basta осуществила во вторую неделю апреля, после чего быстро начала атаковать компании по всему миру. Сумма требуемого у жертв выкупа не является фиксированной и различается в зависимости от атакованной организации. Самым последним в списке жертв числится немецкий производитель возобновляемой энергии Deutsche Windtechnik. Компания стала жертвой кибератаки 11 апреля, но не сообщила, что это была атака вымогателей.

Исследователь в области кибербезопасности, использующий псевдоним PCrisk, обнаружил новую программу-вымогатель, которая добавляет расширение .parker и оставляет записку с требованием выкупа под названием RESTORE_FILES_INFO.txt. PCrisk также обнаружил новые варианты программы-вымогателя STOP, которые добавляют расширения .jhgn, .jhbg и .dewd. Исследователь выявил новый вариант программы-вымогателя Axxes, который добавляет расширение .axxes и удаляет заметки о выкупе с именами RESTORE_FILES_INFO.hta и RESTORE_FILES_INFO.txt.

Крупнейший в мире производитель безалкогольных напитков Coca-Cola подтвердил факт кибератаки на свои компьютерные сети. В настоящее время компания сотрудничает с правоохранительными органами в ходе расследования инцидента. Американский гигант по производству напитков начал расследование после того, как киберпреступная группировка Stormous заявила, что она успешно взломала некоторые из серверов компании и украла 161 ГБ данных.

Новая вымогательская группировка под названием Onyx уничтожает большие файлы вместо их шифрования, предотвращая расшифровку файлов, даже если выплачен выкуп. Программа-вымогатель перезаписывает большие файлы (размером более 200 МБ) случайными ненужными данными, а не шифрует их.

Иранская киберпреступная группировка Rocket Kitten активно использует уязвимость удаленного выполнения кода в VMware с целью получить первоначальный доступ к системам и установить бэкдор Core Impact. Критическая уязвимость CVE-2022-22954 получила оценку в 9,8 балла из максимальных 10 по шкале CVSS и затрагивает VMware Workspace ONE Access и Identity Manager.

Государственный университет Остин Пии (APSU) стал жертвой атаки программы-вымогателя. Университет, расположенный в Кларксвилле (штат Теннесси), посоветовал студентам, сотрудникам и преподавателям немедленно отключить свои компьютеры и устройства от университетской сети в качестве меры предосторожности.

Исследователь в области кибербезопасности, использующий псевдоним Amigo-A, обнаружил новую программу-вымогатель, которая добавляет расширение .@PIPIKAKI и оставляет записку с требованием выкупа под названием WE CAN RECOVER YOUR DATA.txt.