Обзор инцидентов с участием программ-вымогателей за период с 1 по 8 ноября 2021 года

Пн 8 Ноябрь 2021 08:06

На прошлой неделе Федеральное бюро расследований США (ФБР) разослало компаниям из частной отрасли экстренное предупреждение о вымогательской группировке HelloKitty (также известной как FiveHands), которая добавила в свой арсенал распределенные атаки типа «отказ в обслуживании» (DDoS).

ФБР также предупредило о вымогательских группировках, которые осуществляют атаки на компании, находящихся в процессе корпоративных слияний и поглощений. Операторы программ-вымогателей используют финансовую информацию, собранную перед атакой, в качестве рычага давления на жертв. На начальном этапе разведки киберпреступники ищут конфиденциальную информацию, которую они угрожают раскрыть или использовать в качестве рычага воздействия во время вымогательства, тем самым побудить жертв выполнить требования. События, связанные со слиянием или поглощением компаний, могут повлиять на стоимость акций жертвы.

Канадская провинция Ньюфаундленд и Лабрадор подверглась кибератаке, которая привела к серьезным сбоям в работе медицинских учреждений и больниц. В результате атаки региональные системы здравоохранения отключили свои сети и отменили тысячи записей к врачам. Сбои в работе затронули системы здравоохранения Central Health, Eastern Health, Western Health и региональные органы здравоохранения Лабрадора-Гренфелла. Отключение IT-систем также повлияло на связь в регионе — люди сообщали о невозможности связаться с медицинскими центрами или службами 911 по телефону.

Исследователь в области кибербезопасности, использующий псевдоним dnwls0719, обнаружил новый вариант программы-вымогателя Dharma, который добавляет расширение .MS к зашифрованным файлам, и новый вариант вымогателя Thanos, добавляющий расширение .stepik.

Исследователь в области кибербезопасности, использующий псевдоним PCrisk, обнаружил новые варианты программы-вымогателя STOP, которые добавляют расширения .cool, .stax, .irkf и .palq к зашифрованным файлам. PCrisk также обнаружил новый вариант программы-вымогателя Dharma, который добавляет расширение .WORM к зашифрованным файлам.

Операторы вымогательского ПО BlackMatter сообщили о прекращении своей преступной деятельности из-за давления со стороны властей и операций сотрудников правоохранительных органов. Как сообщило издание Bleeping Computer, существующие партнеры BlackMatter «перемещают» своих жертв на конкурирующий сайт программы-вымогателя LockBit для продолжения вымогательства.

Лейбористская партия Великобритании уведомила своих членов о том, что некоторая их информация пострадала в результате утечки данных. Утечка данных произошла в результате кибератаки со стороны операторов неназванной программы-вымогателя на поставщика, управляющего данными партии.

Исследователь в области кибербезопасности, использующий псевдоним Amigo-A, обнаружил новую программу-вымогатель Polaris, нацеленную на системы под управлением Linux и оставляющую записки с требованием выкупа с именем WARNING.txt.

Новая киберпреступная группировка взламывает серверы Microsoft Exchange и корпоративные сети, используя уязвимость ProxyShell для установки программы-вымогателя Babuk. По словам экспертов из Cisco Talos, партнер Babuk, известный как Tortilla, начал использовать web-оболочку China Chopper на взломанных серверах Exchange.

Организаторы новой фишинговой кампании заражают системы пользователей программой-вымогателем MirCop, шифрующей компьютерные устройства менее чем за пятнадцать минут. Преступники отправляют потенциальным жертвам электронное письмо, замаскированное под список поставщиков. В письме содержится гиперссылка на URL-адрес Google Диска, при нажатии на которую на компьютер жертвы загружается MHT-файл. Данный файл загружает RAR-архив, содержащий загрузчик вредоносных программ на языке .NET.

Партнеры вымогательского ПО Lockean связаны с атаками на французские организации. Французская группа реагирования на компьютерные чрезвычайные ситуации (CERT) сообщила подробности об инструментах и тактике, используемых партнерами Lockean. За последние полтора года злоумышленники взломали сети по меньшей мере восьми французских компаний, похитив данные и развернув вредоносное ПО на системах жертв.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 250 дней 2 часа 24 минуты 49 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.