Обзор инцидентов с участием программ-вымогателей за период с 29 ноября по 6 декабря 2021 года

На прошлой неделе вымогательская группировка BlackByte взломала корпоративные сети с помощью уязвимостей ProxyShell в серверах Microsoft Exchange. Атаки осуществлялись через ProxyShell путем установки на серверы web-оболочек. С помощью web-оболочек злоумышленники загружали на атакуемый сервер маячок Cobalt Strike, внедренный в процесс Windows Update Agent. Cobalt Strike затем использовался для похищения данных авторизации в учетной записи сервиса на скомпрометированной системе. После захвата учетной записи злоумышленники устанавливали инструмент для удаленного доступа к системе AnyDesk и осуществляли перемещение по сети.

Исследователь в области безопасности, использующий псевдоним PCrisk, обнаружил новый вариант вымогателя Phobos с расширением .XIII и новые варианты программы-вымогателя STOP, которые добавляют расширения .moia и .yqal.

Партнер новой вымогательской группировки Yanluowang организовал атаки на американские организации в финансовом секторе, используя вредоносное ПО BazarLoader на стадии разведки. Исходя из наблюдаемых тактик, приемов и процедур, злоумышленник имеет опыт работы с бизнес-моделью «вымогательское-ПО-как-услуга» (RaaS) и может быть связан с группировкой Fivehands.

Федеральное Бюро Расследований изъяло $2,3 млн у партнера вымогательских группировок REvil и GandCrab. ФБР изъяло из криптовалютного кошелька Exodus группировки Lalartu 39,89138522 биткойна на сумму в $2,3 млн по текущим ценам ($1,5 млн на момент изъятия).

ФБР также сообщило о вымогательской группировке Cuba, которая взломала сети по меньшей мере 49 организаций в критически важных секторах инфраструктуры США. Вредонос Cuba доставляется в сети жертв через загрузчик вредоносных программ Hancitor, который позволяет операторам получить более легкий доступ к ранее скомпрометированным корпоративным сетям.

Исследователь в области безопасности, использующий псевдоним Siri, обнаружил новое вымогательское ПО Blue Locker, которое добавляет расширение .blue к зашифрованным файлам. Siri также выявил новую программу-вымогатель Hello, которая добавляет расширение .hello.

Медицинская некоммерческая организация Planned Parenthood в Лос-Анджелесе сообщила об утечке данных после того, как в октябре подверглась атаке с использованием программы-вымогателя. В результате атаки была раскрыта личная информация примерно 400 тыс. Украденные данные включают медицинскую информацию о проводимых в PPLA процедурах. Об этом сообщило издание The Washington Post.

У испанской службы доставки Correos Express возникли трудности с оказанием своих услуг. Предположительно, компания стала жертвой кибератаки с использованием вымогательского ПО Hive.

Журналисты издания DailyMail предположительно выследили Евгения Полянина — участника вымогательской группировки REvil. Один их самых разыскиваемых ФБР «русских хакеров» Евгений Полянин преспокойно живет в Барнауле, наслаждаясь жизнью класса «люкс», и не похоже, чтобы за ним кто-то охотился. К такому выводу пришли журналисты британского издания, решившие сами найти киберпреступника, против которого ранее в этом месяце в США были выдвинуты обвинения в атаках с использованием вымогательского ПО и отмывании денег.