Croc

4 самых опасных новых групп вымогателей, на которые стоит обратить внимание

4 самых опасных новых групп вымогателей, на которые стоит обратить внимание 4 самых опасных новых групп вымогателей, на которые стоит обратить внимание 4 самых опасных новых групп вымогателей, на которые стоит обратить внимание
16.11.2021

Новое исследование, проведенное подразделением Unit 42 компании Palo Alto Networks, выявило четыре развивающиеся группы хакеров-вымогателей, которые могут стать более серьезными проблемами в будущем, пишет издание CSO. Это AvosLocker, Hive Ransomware, HelloKitty и LockBit 2.0.

Новые группы угроз вымогателей

«В связи с тем, что основные группы взломщиков-вымогателей, такие как REvil и Darkside, притаились или проводят реорганизацию чтобы избежать преследования со стороны правоохранительных органов и внимания средств массовой информации, появятся новые группы, которые заменят те, которые больше не нацелены на жертв», - говорится в последнем отчете службы безопасности компании Ransomware Groups to Watch: Emerging Threats. В рамках исследования Доэль Сантос, аналитик по анализу угроз, и Ручна Нигам, главный исследователь угроз, подробно описали поведение четырех групп хакеров-вымогателей.

AvosLocker

Группа AvosLocker, информация о которой впервые появилась в июле 2021 года, работает в рамках модели «программа-вымогатель как услуга» (RaaS) и контролируется компанией avos, которая рекламирует свои услуги на форуме Dread в даркнете. Требования группы о выкупе включают информацию и ID, используемый для идентификации жертв, а также необходимость посетить сайт AvosLocker Tor для восстановления данных. Согласно исследованию, эти вымогатели требовали от своих жертв от 50 000 до 75 000 долларов в биткоинах, при этом от действий AvosLocker пострадали 7 мировых компаний.

Hive Ransomware

Согласно отчету, программа-вымогатель Hive, начавшая свою деятельность в июне 2021 года, была обнаружена нацеленной на медицинские организации и другие предприятия, плохо оснащенные для защиты от кибератак. Группа опубликовала данные своей первой жертвы на своем сайте утечек Hive Leaks, а затем подробности еще о 28 жертвах. «Когда эта программа-вымогатель запускается, она сбрасывает два пакетных сценария, - писали исследователи. - Первый сценарий, hive.bat, пытается удалить себя, а второй сценарий отвечает за удаление теневых копий системы (shadow.bat). Программа-вымогатель Hive добавляет расширение [randomized characters].hive к зашифрованным файлам и оставляет записку с требованием выкупа под названием HOW_TO_DECRYPT.txt, содержащую инструкции и рекомендации по предотвращению потери данных».

Жертвы направляются через записку о выкупе в чат со злоумышленниками для обсуждения возможных методов расшифровки данных. Исследователи не могут указать точный способ доставки программы-вымогателя, но предполагают, что здесь могут быть задействованы традиционные средства, такие как перебор учетных данных или целевой фишинг.

HelloKitty: версия для Linux

Программы HelloKitty появились в 2020 году, они в первую очередь нацелены на компьютеры с операционной системой Windows. Название происходит от использования HelloKittyMutex. В 2021 году в Palo Alto обнаружили образец Linux (ELF) с именем funny_linux.elf, содержащий записку с требованием выкупа, текст которого совпадал с более поздними версиями вредоносного ПО HelloKitty для Windows. Были обнаружены новые образцы, и в марте они начали нацеливаться на ESXi для последних вариантов программ-вымогателей для Linux.

«Как ни странно, предпочтительный способ связи, используемый злоумышленниками в записках о выкупе в разных образцах, - это сочетание URL-адресов Tor и адресов электронной почты Protonmail, специфичных для жертвы», - пишут исследователи. «Это может указывать на разные кампании или даже на совершенно разных злоумышленников, использующих одну и ту же кодовую базу вредоносных программ», - сообщили исследователи. Отмечались требования выкупа в размере 10 миллионов долларов в биткоинах. Программа-вымогатель шифрует файлы с помощью алгоритма цифровой подписи с эллиптической кривой (ECDSA).

LockBit 2.0

LockBit 2.0, ранее известная как программа-вымогатель ABCD, представляет собой еще одну группу, работающую как RaaS. Деятельность группы была замечена впервые в 2019 году, исследователи Palo Alto обнаружили недавнюю эволюцию методов группы, при этом участники утверждают, что их текущий вариант является самым быстрым из действующих программ шифрования. С июня группа взломала 52 глобальные организации. «Все сообщения злоумышленников на их сайтах включают обратный отсчет времени, пока конфиденциальная информация не станет общедоступной, что создает дополнительное давление на жертву», - пишут исследователи. После запуска LockBit 2.0 начинает шифрование файла и добавляет расширение .lockbit. Когда шифрование завершено, записка с требованием выкупа под названием Restore-My-Files.txt уведомляет жертв о взломе и предлагает рекомендации по шагам расшифровки.

Автор: Michael Hill


Комментарии 0