Обзор инцидентов с участием программ-вымогателей за период с 9 по 16 августа 2021 года

Большую часть внимания общественности на прошлой неделе привлекла публикация загадочного универсального декриптора для файлов, зашифрованных вымогательской группировкой REvil. ИБ-экспертам с помощью этого ключа удалось расшифровать файлы, зашифрованные в ходе атаки на Kaseya. Специалисты также опробовали декриптор на других образцах REvil, собранные за последние два года. Декриптор не работал, а значит, это не мастер-ключ дешифрования для всех жертв REvil.

Кибервымогательская группировка El_Cometa, ранее известная под названием SynAck, опубликовала мастер-ключ для пользователей, ставших их жертвами в период с июля 2017-го по начало 2021 года. Как сообщили представители SynAck, они решили выпустить мастер-ключ для восстановления файлов, зашифрованных вымогателем в ходе старых операций, поскольку намерены сосредоточиться на новых. Так, в конце прошлого месяца группировка начала новые операции под названием El_Cometa.

Тайваньский производитель сетевых хранилищ (NAS) Synology предупредил клиентов о вредоносной кампании, в ходе которой операторы ботнета StealthWorker атакуют сетевые устройства для хранения данных и заражают их программами-вымогателями. По словам команды специалистов Product Security Incident Response Team (PSIRT) Synology, NAS-устройства Synology, скомпрометированные в результате данных атак, используются в дальнейших попытках взломать другие системы под управлением Linux.

Как сообщили специалисты из компании Microsoft, облачная платформа SIEM (Security Information and Event Management) Azure Sentinel теперь может обнаруживать потенциальную активность программ-вымогателей с помощью модели машинного обучения Fusion.

Исследователь в области кибербезопасности, использующий псевдоним PCrisk, обнаружил новый вариант программы-вымогателя STOP, который добавляет расширение .repg, и новый вариант вымогателя Dharma, который добавляет расширение .JRB.

Недавно обнаруженный образец вымогательского ПО eCh0raix получил функцию шифрования сетевых хранилищ (NAS) QNAP и Synology. Вредоносное ПО eCh0raix, также известное как QNAPCrypt, было впервые обнаружено в июне 2016 года. Вымогатель атаковал NAS-устройства QNAP «волнами». Первая «волна» имела место в июне 2019 года, а вторая -–в июне 2020 года. В 2019 году eCh0raix также шифровало устройства производства Synology, предварительно взламывая их с помощью брутфорса. По словам специалистов подразделения Unit 42 ИБ-компании Palo Alto Networks, если раньше вредонос атаковал устройства QNAP и Synology раздельно, то с сентября 2020 года у него появилась функция шифрования обоих семейств устройств.

Разработчик и издатель компьютерных игр Crytek подтвердил , что в октябре 2020 года стал жертвой вымогательского ПО Egregor. Хакеры зашифровали системы компании, похитили файлы с конфиденциальными данными клиентов и опубликовали их на своем сайте утечек в даркнете. Crytek разослала затронутым пользователям соответствующие уведомления только в августе 2021 года.

Восемь округов государственных школ K-12 в США стали жертвами атак с использованием вымогательского ПО Pysa.

Консалтинговая компания Accenture, входящая в список Fortune 500, стала жертвой атаки с использованием вымогательского ПО LockBit. По словам представителей компании, инцидент не повлиял на ее работу, а затронутые системы были восстановлены из резервных копий. Как сообщило издание The Record, Accenture в электронном письме своим клиентам не только подтвердила атаку, но и значительно преуменьшила ее влияние.

Специалисты из Cyble Research Lab обнаружили , что индийская компания Pine Labs подверглась атаке программ-вымогателей. Атака была организована вымогательской группировкой BlackMatter. В результате атаки преступники получили доступ к информации об услугах и других частных соглашениях между несколькими индийскими банками и Pine Labs, финансовым отчетам и более 500 тыс. уникальных записей, содержащих контактную информацию (телефон, имя, e-mail).

Исследователь в области кибербезопасности, использующий псевдоним dnwls0719, обнаружил новый вариант программы-вымогателя Phobos, который добавляет расширение .HORSEMONEY.

Вымогательские группировки Vice Society и Magniber начали активно эксплуатировать уязвимость PrintNightmare в диспетчере очереди печати Windows для перемещения по сетям своих жертв.