Шифровирусы шумной толпою...

1234568»

Комментарии

  • отредактировано 5 июн PM
    Ransomware group теперь взламывает корпоративные веб-сайты, чтобы показать заметки о выкупе.

    Кибергруппы поднимает вымогательство на новый уровень, публично взламывая корпоративные веб-сайты, чтобы публично демонстрировать заметки о выкупе.

    Эта новая стратегия вымогательства осуществляется Industrial Spy, которая недавно начала использовать программы-вымогатели как часть своих атак.

    В рамках своих атак Industrial Spy будет взламывать сети, красть данные и развертывать программы-вымогатели на устройствах. Затем злоумышленники угрожают продать украденные данные на своей торговой площадке Tor, если выкуп не будет выплачен.

    Дефейс веб-сайтов как часть вымогательства данных

    Сегодня Industrial Spy начала продавать данные, которые, как они утверждают, были украдены у французской компании SATT Sud-Est, за 500 000 долларов.
    Как впервые заметил исследователь безопасности MalwareHunterTeam, эта атака выделяется тем, что злоумышленники также взломали веб-сайт компании, чтобы отобразить сообщение, предупреждающее о том, что 200 ГБ были украдены и скоро будут выставлены на продажу, если жертва не заплатит выкуп.

    https://www.bleepingcomputer.com/news/security/ransomware-gang-now-hacks-corporate-websites-to-show-ransom-notes/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Linux-версия программы-вымогателя Black Basta нацелена на серверы VMware ESXi

    Black Basta — это последняя группа программ-вымогателей, которая добавила поддержку шифрования виртуальных машин (ВМ) VMware ESXi, работающих на корпоративных серверах Linux.

    Большинство групп вымогателей в настоящее время сосредотачивают свои атаки на виртуальных машинах ESXi, поскольку эта тактика согласуется с их корпоративной направленностью. Это также позволяет использовать более быстрое шифрование нескольких серверов с помощью одной команды.

    Шифрование виртуальных машин имеет смысл, так как многие компании недавно перешли на виртуальные машины, поскольку они упрощают управление устройствами и намного более эффективно используют ресурсы.

    Еще одна кибергруппа нацелена на серверы ESXi

    В новом отчете аналитики Uptycs Threat Research сообщили, что они обнаружили новые двоичные файлы программы-вымогателя Black Basta, специально предназначенные для серверов VMWare ESXi.

    Шифровальщики программ-вымогателей для Linux не являются чем-то новым, и ранее уже известно об аналогичных шифраторах, выпущенных несколькими группами, включая
    LockBit, HelloKitty, BlackMatter, REvil, AvosLocker, RansomEXX и Hive.

    Как и другие шифровальщики Linux, двоичный файл программы-вымогателя Black Basta будет искать /vmfs/volumes, где хранятся виртуальные машины на скомпрометированных серверах ESXi (если такие папки не найдены, программа-вымогатель завершает работу).

    BleepingComputer не смог найти аргументы командной строки для выбора других путей для шифрования, предполагая, что этот шифратор специально разработан для работы только с серверами ESXi.

    Программа-вымогатель использует алгоритм ChaCha20 для шифрования файлов. Он также использует преимущества многопоточности для использования нескольких процессоров и ускорения процесса шифрования.

    При шифровании программа-вымогатель добавит расширение .basta к именам зашифрованных файлов и создаст заметки о выкупе с именем readme.txt в каждой папке.

    «Впервые Black Basta был замечен в этом году в апреле месяце, когда его варианты были нацелены на системы Windows», — сообщили Siddharth Sharma и Nischay Hegde из Uptcys.

    «Основываясь на ссылке поддержки в чате и расширении зашифрованного файла, мы считаем, что за этой кампанией стоят те же участники, которые ранее атаковали системы Windows с помощью программы-вымогателя Black Basta».

    Активен с апреля

    Программа-вымогатель Black Basta была впервые обнаружена в дикой природе во вторую неделю апреля, когда операция быстро увеличила количество атак, нацеленных на компании по всему миру.

    Несмотря на то, что требования банды о выкупе, вероятно, различаются между жертвами, известно, по крайней мере, об одном, кто получил требование на сумму более 2 миллионов долларов за дешифратор и предотвращение утечки его данных в Интернет.

    Хотя о новой группе мало что известно, скорее всего, это не новая операция, а скорее ребрендинг из-за их продемонстрированной способности быстро взломать новых жертв и стиля ведения переговоров (возможно, ребрендинг операции вымогателей Conti).

    Технический директор Emsisoft Fabian Wosar ранее сообщил, что другие кибергруппы (помимо тех, о которых мы сообщали), включая
    Babuk, RansomExx/Defray, Mespinoza, GoGoogle, Snatch, PureLocker и DarkSide
    , также разработали и использовали свои собственные шифраторы для Linux.

    «Причина, по которой большинство групп вымогателей внедрили версии своих программ-вымогателей на базе Linux, заключается в том, что они нацелены именно на ESXi», — пояснил Wosar.

    https://www.bleepingcomputer.com/news/security/linux-version-of-black-basta-ransomware-targets-vmware-esxi-servers/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Ransomware создает сайт для поиска украденных данных сотрудниками.


    ALPHV, также известная как BlackCat, вывела вымогательство на новый уровень, создав специальный веб-сайт, который позволяет клиентам и сотрудникам их жертв проверить, не были ли их данные украдены в результате атаки.

    Когда группы вымогателей проводят атаки, они незаметно крадут корпоративные данные. Собрав все ценное, злоумышленник начинает шифровать устройства.

    Затем украденные данные используются в схемах двойного вымогательства, когда хакеры требуют выкуп за доставку дешифратора и предотвращение публичного раскрытия корпоративных данных.

    Чтобы заставить жертв заплатить, кибергруппы создают сайты утечки данных, где они медленно раскрывают части украденных данных или отправляют клиентам и сотрудникам электронные письма с предупреждением о том, что их информация была украдена.

    Однако эти методы вымогательства не всегда работают, и компании просто решают не платить, даже если их корпоративные данные, данные сотрудников и клиентов находятся под угрозой утечки.

    По этой причине кибергруппы постоянно совершенствуют свою тактику, чтобы оказывать дополнительное давление на жертв.

    Вымогательство на новый уровень

    Сегодня AlphV/BlackCat начала публиковать предположительно украденные данные, которые, как они утверждают, были украдены из отеля и спа-салона в Орегоне.

    В рамках этой атаки AlphV утверждает, что украла 112 ГБ данных, включая информацию о сотрудниках, такую как номера социального страхования, для 1500 сотрудников.

    Однако вместо того, чтобы просто слить данные на своем обычном сайте утечки данных Tor, AlphV пошла еще дальше и создала специальный веб-сайт, позволяющий сотрудникам и клиентам проверять, не были ли их данные украдены во время атаки на отель.

    dedicated-data-leak-site.jpg
    Используя этот сайт, сотрудники, клиенты или кто-либо в этом отношении может просматривать информацию о постояльцах отеля и их пребывании или личные данные 1534 сотрудников.

    В то время как данные о гостях клиентов содержат только имена, дату прибытия и стоимость проживания, данные сотрудников включают чрезвычайно конфиденциальную информацию, такую как имена, номера социального страхования, дату рождения, номера телефонов и адреса электронной почты.

    Злоумышленники даже дошли до того, что создали «пакеты данных» для каждого сотрудника, содержащие файлы, связанные с работой этого человека в отеле.

    Поскольку этот сайт размещен в открытой сети, то есть в общедоступном Интернете, он индексируется поисковыми системами, и раскрытая информация, вероятно, будет добавлена в результаты поиска, что может еще больше усугубить ситуацию для жертв.

    Инновация или пустая трата времени?

    Цель этого сайта ясна: напугать сотрудников и гостей, чтобы они потребовали от отеля удалить их данные из Интернета, что можно сделать только заплатив выкуп.

    Аналитик по безопасности Emisosft Бретт Кэллоу, который обнаружил эту новую стратегию вымогательства и сказал, что, хотя тактика является инновационной, еще слишком рано говорить о том, окупится ли она.

    «Alphv, несомненно, надеется, что эта тактика повысит вероятность того, что они будут монетизировать атаки. Если компании будут знать, что информация, касающаяся их клиентов и сотрудников, будет обнародована таким образом, они могут быть более склонны заплатить требование, чтобы предотвратить это. происходит — и чтобы избежать возможных коллективных исков», — сказал Кэллоу.

    «Несмотря на то, что это инновационный подход, еще неизвестно, будет ли эта стратегия успешной — и, конечно же, это определит, станет ли она более распространенной».

    AlphV считается ребрендингом банды DarkSide/BlackMatter, ответственной за атаку на Colonial Pipeline, которая привлекла внимание средств массовой информации к этим хакерским группам и привлекла все внимание международных правоохранительных органов и правительства США.

    Эта кибергруппа всегда считалась одной из лучших операций по вымогательству. Тем не менее, они также известны своими ошибками и сумасшедшими идеями, которые доставляют им неприятности.

    Настройка этого веб-сайта с пакетами данных отдельных сотрудников определенно отнимала много времени у злоумышленников. Нам придется подождать и посмотреть, окупятся ли усилия.

    https://www.bleepingcomputer.com/news/security/ransomware-gang-creates-site-for-employees-to-search-for-their-stolen-data/

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Conti взломал более 40 организаций за месяц

    Исследователи безопасности назвали хакерскую кампанию ARMattack и назвали ее одной из «самых продуктивных» и «чрезвычайно эффективных».
    Молниеносная кампания ARMattack

    В отчете, предоставленном BleepingComputer, исследователи из компании Group-IB, занимающейся кибербезопасностью, говорят, что одна из «самых продуктивных кампаний» Conti была проведена в прошлом году с 17 ноября по 20 декабря 2021 года.

    В ходе кампании аффилированным лицам Conti удалось скомпрометировать более 40 организаций в различных сферах деятельности, работающих в разных регионах, но с упором на компании, базирующиеся в США.

    Согласно данным Group-IB, самая короткая успешная атака Conti длилась всего три дня с момента первоначального доступа до шифрования систем организации.

    «Получив доступ к инфраструктуре компании, злоумышленники извлекают определенные документы (чаще всего, чтобы определить, с какой организацией они имеют дело) и ищут файлы, содержащие пароли (как открытые, так и зашифрованные). Наконец, получив все необходимые привилегии и получив доступ ко всем интересующим их устройствам, хакеры внедряют программу-вымогатель на все устройства и запускают ее», — Group-IB

    В настоящее время Conti входит в тройку крупнейших групп вымогателей по частоте атак, уступив в этом году второе место после LockBit, согласно данным, собранным за первый квартал 2022 года.

    Первые атаки программ-вымогателей Conti, о которых стало известно BleepingComputer, датируются концом декабря 2019 года. По данным Group-IB, первоначальные тестовые версии вредоносного ПО были отслежены до ноября 2019 года.

    Несмотря на недавние утечки чата и исходного кода, Conti продолжает вести прибыльный бизнес, который почти не подает признаков краха.

    Группа постоянно расширяла свою деятельность, работая с другими операторами программ-вымогателей (HelloKitty, AvosLocker, Hive, BlackCat, BlackByte, LockBit) и приобретая киберпреступные операции, такие как TrickBot.

    https://www.bleepingcomputer.com/news/security/conti-ransomware-hacking-spree-breaches-over-40-orgs-in-a-month/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Поддельные электронные письма о нарушении авторских прав устанавливают программу-вымогатель LockBit

    Партнеры программы-вымогателя LockBit используют интересный трюк, чтобы заставить людей заражать свои устройства, маскируя свое вредоносное ПО под заявлениями об авторских правах.

    Получателей этих писем предупреждают о нарушении авторских прав, предположительно об использовании медиафайлов без лицензии создателя. Эти электронные письма требуют, чтобы получатель удалил контент, нарушающий авторские права, со своих веб-сайтов, иначе он будет привлечен к судебной ответственности.

    Электронные письма, обнаруженные аналитиками из AhnLab, Корея, не определяют, какие файлы были несправедливо использованы в теле письма, а вместо этого предлагают получателю загрузить и открыть вложенный файл, чтобы увидеть содержание нарушения.

    Вложение представляет собой защищенный паролем ZIP-архив, содержащий сжатый файл, который, в свою очередь, имеет исполняемый файл, замаскированный под PDF-документ, но на самом деле являющийся установщиком NSIS.

    Причина для этой оболочки и защиты паролем состоит в том, чтобы избежать обнаружения инструментами безопасности электронной почты.

    Если жертва откроет предполагаемый «PDF», чтобы узнать, какие изображения используются незаконно, вредоносное ПО загрузит и зашифрует устройство с помощью программы-вымогателя LockBit 2.0.

    Заявления о нарушении авторских прав и вредоносное ПО

    Хотя использование заявлений о нарушении авторских прав интересно, оно не является чем-то новым или исключительным для членов LockBit, поскольку многие кампании по распространению вредоносных программ используют ту же приманку.

    https://www.bleepingcomputer.com/news/security/fake-copyright-infringement-emails-install-lockbit-ransomware/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • LockBit 3.0 представляет первую программу вознаграждения за ошибки программ-вымогателей

    LockBit Ransomware выпустил «LockBit 3.0», в котором представлена ​​первая программа вознаграждения за ошибки программ-вымогателей, а также раскрыты новые тактики вымогательства и способы оплаты криптовалютой Zcash.

    Операция по борьбе с программами-вымогателями была запущена в 2019 году и с тех пор стала самой результативной операцией по борьбе с программами-вымогателями, на которую приходится 40% всех известных атак программ-вымогателей в мае 2022 года.

    На выходных кибергруппа выпустила обновленную операцию «программа-вымогатель как услуга» (RaaS) под названием LockBit 3.0 после бета-тестирования в течение последних двух месяцев, при этом новая версия уже использовалась в атаках.

    Хотя неясно, какие технические изменения были внесены в шифровальщик, заметки о выкупе больше не называются «Restore-My-Files.txt», а вместо этого перешли в формат именования [id].README.txt, как показано ниже.

    lockbit-3_0-ransom-note.jpg

    Программа поощрения ошибок LockBit 3.0

    С выпуском LockBit 3.0 операция представила первую программу вознаграждения за обнаружение ошибок, предлагаемую кибергруппой, которая просит исследователей безопасности отправлять отчеты об ошибках в обмен на вознаграждение в размере от 1000 до 1 миллиона долларов.

    «Мы приглашаем всех исследователей безопасности, этичных и неэтичных хакеров на планете принять участие в нашей программе вознаграждения за обнаружение ошибок. Сумма вознаграждения варьируется от 1000 до 1 миллиона долларов», — говорится на странице вознаграждения за обнаружение ошибок LockBit 3.0.

    Тем не менее, эта программа вознаграждения за обнаружение ошибок немного отличается от тех, которые обычно используются законными компаниями, поскольку во многих странах помощь преступному предприятию является незаконной.

    Кроме того, LockBit не только предлагает вознаграждение за уязвимости, но также выплачивает вознаграждение за «блестящие идеи» по улучшению работы программ-вымогателей и за доксинг менеджера партнерской программы.

    Ниже приведены различные категории наград за ошибки, предлагаемые операцией LockBit 3.0:
    Ошибки веб-сайта: XSS-уязвимости, инъекции mysql, получение оболочки на сайт и многое другое, будет оплачиваться в зависимости от серьезности ошибки, основное направление - получить дешифратор через веб-сайт ошибок, а также доступ к истории переписки с зашифрованными компаниями.
    Ошибки локера: Любые ошибки при шифровании локерами, приводящие к повреждению файлов или к возможности расшифровки файлов без получения дешифратора.
    Блестящие идеи: Мы платим за идеи, пожалуйста, напишите нам, как улучшить наш сайт и наше программное обеспечение, лучшие идеи будут оплачены. Что такого интересного в наших конкурентах, чего нет у нас?
    Доксинг: Мы платим ровно миллион долларов, не больше и не меньше, за доксирование босса партнерской программы. Являетесь ли вы агентом ФБР или очень умным хакером, который знает, как найти кого угодно, вы можете написать нам в мессенджер TOX, сообщить нам имя своего босса и получить за это 1 миллион долларов в биткойнах или монеро.
    Мессенджер TOX: Уязвимости мессенджера TOX, позволяющие перехватывать переписку, запускать вредоносные программы, определять IP-адрес собеседника и другие интересные уязвимости.
    Сеть Tor: Любые уязвимости, помогающие получить IP-адрес сервера, на котором установлен сайт на домене onion, а также получить root-доступ к нашим серверам с последующим дампом базы данных и доменами onion.

    Вознаграждение в размере 1 000 000 долларов США за идентификацию менеджера филиала, известного как LockBitSupp, ранее предлагалось на хакерском форуме XSS в апреле.

    Предстоящий способ оплаты ZCash?

    При открытии сайтов Tor для переговоров LockBit 3.0 и сайтов утечки данных посетителям предоставляется анимированный логотип с вращающимися вокруг него различными значками криптовалюты.

    Значки криптовалюты, показанные на этой анимации, — это Monero и Bitcoin, которые в прошлом принимались в качестве выкупа, но также включает монету конфиденциальности, известную как Zcash.

    Добавление Zcash в качестве способа оплаты неудивительно для программы-вымогателя.

    Компании по отслеживанию криптовалюты и аресты правоохранительных органов неоднократно показывали, что Биткойн можно отследить, и, хотя Monero является монетой конфиденциальности, подавляющее большинство криптобирж США не предлагает ее для продажи.

    Zcash также является монетой конфиденциальности, что затрудняет отслеживание. Тем не менее, в настоящее время он выставлен на продажу на самой популярной в США криптовалютной бирже Coinbase, что облегчает жертвам покупку для получения выкупа.

    Однако, если операции с программами-вымогателями перейдут на прием платежей в этой монете, мы, вероятно, увидим, что она будет удалена с бирж США из-за давления со стороны правительства США.

    LockBit продает украденные данные жертвы?

    Валерий Мархив из LeMagIT обнаружил, что операция LockBit 3.0 использует новую модель вымогательства, позволяющую злоумышленникам покупать данные, украденные во время атак.

    Один из файлов JavaScript, используемых новым сайтом утечки данных LockBit 3.0, показывает новое модальное диалоговое окно HTML, которое позволяет людям приобретать данные, украденные на сайте.

    Как вы можете видеть ниже, модальные окна предложат возможность купить данные и скачать их либо через торрент, либо прямо на сайте. Доступные параметры могут быть определены в зависимости от размера украденных данных, при этом торренты используются для больших дампов данных и прямой загрузки для меньших объемов.

    Поскольку на сайте утечки данных LockBit 3.0 в настоящее время нет жертв, неясно, как будет работать эта новая тактика вымогательства и будет ли она вообще включена.

    LockBit — одна из самых активных операций с программами-вымогателями, а ее общедоступный оператор активно взаимодействует с другими субъектами угроз и сообществом кибербезопасности.

    Из-за постоянного внедрения новых тактик, технологий и способов оплаты специалистам по безопасности и сетям жизненно важно быть в курсе развития операций.

    https://www.bleepingcomputer.com/news/security/lockbit-30-introduces-the-first-ransomware-bug-bounty-program/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.