Обзор новых программ-вымогателей за период с 1 по 7 февраля 2021 года

Прошедшая неделя ознаменовалась рядом крупномасштабных атак, а также сообщениями о снижении сумм выкупов за восстановление данных. По мере того, как доверие к обещанию вымогателей удалить украденные данные подрывается, специалисты Coveware зафиксировали снижение требований выкупа, поскольку компании восстанавливают свои файлы из резервных копий. К сожалению, эксперты также отметили растущую тенденцию атак программ-вымогателей, ошибочно вызывающих необратимое уничтожение данных при их шифровании. Неизвестно, вызвано ли это багами в программном обеспечении или небрежными и неопытными злоумышленниками.

Британское агентство исследований и инноваций (UKRI) расследует инцидент, связанный с вымогательским ПО, который зашифровал данные и повлиял на две его службы. Два затронутых инцидентом сервиса представляют собой порталы расположенного в Брюсселе управления исследований UK Research Office (UKRO). В настоящее время оба ресурса отключены.

Операторы вымогательского ПО Babyk (также известного как Babuk) создали собственный сайт утечек данных для публикации украденных данных жертв в рамках стратегии двойного вымогательства. Преступники также опубликовали список компаний и организаций, которые они не будут атаковать, с некоторыми исключениями в виде благотворительных фондов, помогающих BLM и ЛГБТ.

Поставщик управляемых IT-услуг Netgain в конце прошлого года стал жертвой кибератаки с использованием вымогательского ПО, и теперь стало известно , что в результате атаки также пострадали клиенты программы Family Health Division в округе Рэмси, персональные данные которых были похищены.

В сентябре 2020 года специалисты из Cisco Talos установили контакт с оператором вымогательского ПО LockBit. В течение нескольких недель они провели ряд интервью с целью получить редкую информацию из первых рук о киберпреступной деятельности оператора-вымогателя. С полным отчетом можно ознакомиться здесь .

Исследователь безопасности Майкл Гиллеспи (Michael Gillespie) обнаружил новые варианты вымогателей STOP Djvu, которые добавляют расширения .plam и .cosd к зашифрованным файлам.

Команда специалистов MalwareHunterTeam обнаружила новый вариант VashSorena, который добавляет расширение .lucifer и оставляет записки с требованием выкупа HELP_DECRYPT_YOUR_FILES.txt и HELP_DECRYPT_YOUR_FILES.html, а также выявила новые варианты программы-вымогателя Nefilim, которые добавляют расширения .DERZKO и .MILIHPEN к зашифрованым файлам.

Специалисты из «Лаборатории Касперского» выпустили дешифратор RakhniDecryptor для вымогательского ПО Fonix (также известного как Xinof и FonixCrypter), позволяющий жертвам бесплатно восстанавливать свои зашифрованные файлы.

Программы-вымогатели продолжают тенденцию целевых атак с использованием тактики двойного вымогательства. Специалисты из Trend Micro провели исследование вариантов программ-вымогателей, появившихся в 2020 году, с целью создать для компаний руководство по борьбе с потенциальными атаками.

Представители Forward Air сообщили , что в результате кибератаки с использование вымогательского ПО транспортная компания понесла убытки в размере $7,5 млн. Предположительно, атака была осуществлена новой группировкой вымогателей под названием Hades. Группировка не указала сумму выкупа за восстановление доступа, а вместо этого предоставила ссылку на сайт в даркнете и инструкции для установления контакта.

Специалисты из компании Chainalysis выявили взаимосвязь между четырьмя крупнейшими видами вымогателей 2020 года — Maze, Egregor, SunCrypt и Doppelpaymer.

Исследователь безопасности, использующий псевдоним xiaopao, обнаружил программу-вымогатель HDLocker , которая добавляет строку _HD к именам зашифрованных файлов, а также новый вариант вымогателя Xorist, добавляющий расширение .omfl.

Две крупнейшие бразильские электроэнергетические компании Centrais Eletricas Brasileiras (Eletrobras) и Companhia Paranaense de Energia (Copel) подверглись кибератакам с использованием вымогательского ПО. В результате кибератак были сорваны некоторые операции обеих компаний. Кроме того, им пришлось отключить часть своих систем, по крайней мере, временно.