Теги → шифровальщик
Быстрый переход

Количество атак программ-шифровальщиков пошло на убыль, но хорошего в этом мало

Работающая в сфере информационной безопасности компания Positive Technologies проанализировала актуальные угрозы первого квартала 2022 года. Проведённое экспертами исследование выявило сокращение атак со стороны программ-шифровальщиков, блокирующих доступ к данным и требующих выплаты определённой суммы киберпреступникам для возвращения доступа к ценной информации.

 Доля атак с использованием вредосноного ПО (источник изображения: Positive Technologies)

Доля атак с использованием вредоносного ПО (источник изображения: Positive Technologies)

Доля таких атак за квартал снизилась с 53 до 44 процентов. По мнению специалистов, такие изменения в определенной степени обусловлены переключением злоумышленников на промышленный шпионаж без шифрования устройств.

Негативным последствием сокращения количества шифровальщиков стало увеличение числа так называемых вайперов — вредоносов, нацеленных на полное уничтожение данных без возможности их последующего восстановления.

Так, в первом квартале доля атак с использованием ПО для безвозвратного удаления данных для организаций составила 3 %, для частных лиц — 2 %. Интересно, что в ряде случаев такие «очистители» данных имитировали атаки программ-вымогателей: жертвам были оставлены сообщения с информацией о выкупе, однако ключи дешифрования предоставлены не были, а данные были необратимо повреждены.

Подробнее с результатами аналитического исследования Positive Technologies можно ознакомиться на сайте ptsecurity.com/research/analytics.

Для дешифровки файлов без уплаты выкупа можно воспользоваться сайтом No More Ransom, на котором доступно более 120 утилит для восстановления данных.

Создателем нашумевших троянов Jigsaw и Thanos оказался кардиолог из Венесуэлы

Министерство юстиции США обвинило 55-летнего врача-кардиолога Мойзеса Луиса Загала Гонсалеса (Moises Luis Zagala Gonzalez) из Венесуэлы в создании вирусов-вымогателей Jigsaw и Thanos, получивших широкое распространение несколько лет назад. Американские власти считают, что он продавал и лицензировал шифровальщики хакерам, получал в качестве гонорара часть выкупа от жертв киберпреступников, а также предлагал услуги по техподдержке вредоносного ПО и обучению работе с ним.

 Источник изображения: Pixabay

Источник изображения: Pixabay

«Многозадачный врач, лечив пациентов, попутно создал и назвал свой киберинструмент в честь смерти, а также зарабатывал на глобальной экосистеме программ-вымогателей, в которой продавал инструменты для проведения атак программ-вымогателей, обучал злоумышленников тому, как вымогать деньги у жертв, а затем хвастался успешными атаками, в том числе со стороны злоумышленников, связанных с правительством Ирана», — говорится в заявлении прокурора США Брион Пис (Breon Peace).

В киберпреступном сообществе Гонсалес известен под псевдонимами Nosophoros, Aesculapius и Nebuchadnezzar. Первым его творением стал вредонос Jigsaw, активность которого не фиксируется с осени 2021 года. Это инструмент использовался злоумышленниками не часто, в том числе потому, что для него был создан бесплатный инструмент дешифровки. По данным Минюста США, на основе первой версии вымогателя был создан вредонос Jigsaw 2.0 с встроенным счётчиком «судного дня» (Doomsday counter), который отслеживал, сколько раз жертва пыталась избавиться от вредоноса. «Если пользователь слишком много раз уничтожает программу-вымогатель, то ясно, что он не будет платить, поэтому лучше стереть весь жёсткий диск», — говорится в описании вредоноса.

 Источник изображения: CNews

Источник изображения: CNews

В 2019 году Гонсалес создал новый продукт под названием Thanos, предположительно названный в честь злодея из вселенной Marvel, который уничтожил половину всего живого во Вселенной. При этом в основе имени Thanos стоит Танатос, олицетворение смерти в греческой мифологии. Новое творение Гонсалеса представляло собой конструктор по созданию вымогательского ПО. Он мог использоваться хакерами для создания собственных вредоносов и распространялся по модели «вымогатель как услуга, RaaS».

По данным американских властей, Гонсалес создал схему монетизации своих вредоносов, предлагая всем заинтересованным сторонам два способа получить доступ к продуктам. Первый вариант предполагал покупку лицензии на использование Thanos по цене от $500. Второй вариант назывался «партнёрской программой» в рамках которой, хакеры передавали Гонсалесу часть средств, полученных при проведении вредоносных кампаний с использованием Thanos.

 Интерфейс Thanos / Источник изображения: CNews

Интерфейс Thanos / Источник изображения: CNews

Американские власти пытались выйти на след Гонсалеса с начала 2020 года. Расследование шло в течение двух лет и в конечном счёте удалось вычислить родственника хакера, проживающего в США, и чей счёт Гонсалес использовал для получения незаконных доходов. Он и помог правоохранителям установить личность разработчика Thanos. Сейчас Гонсалесу грозит до 10 лет тюремного заключения.

Число атак вирусов-вымогателей на российские компании утроилось

В специализирующихся на вопросах кибербезопасности компаниях подсчитали, что с начала весны в три раза выросло количество атак вирусов-вымогателей на ресурсы российских предприятий. Это связывают с украинскими событиями: после его начала в хакерском сообществе произошёл раскол, когда разные группировки стали поддерживать разные стороны конфликта, пишет «Коммерсантъ».

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

В «Лаборатории Касперского» отметили, что в 2022 году операторы вирусов-вымогателей сменили тактику, переключившись с массовых рассылок на атаки с чётко обозначенной целью, а также стали использовать более сложное ПО, способное работать на нескольких операционных системах. В частности, хакерская группировка Conti разработала шифровальщик, способный работать в системах Linux — это «перспективное» направление, отметили в компании Positive Technologies, поскольку популярность этих платформ растёт.

Не менее важным оказалась геополитическая сторона вопроса: группировки хакеров начали принимать одну из сторон в украинским конфликте и проводить свои атаки в поддержку России или Украины. Олег Скулкин из компании Group-IB рассказал, что после заявления группировки Conti о поддержке российской стороны один из её украинских партнёров выложил в открытый доступ личные данные участников группировки и исходный код созданного ими вируса-шифровальщика, который впоследствии стал использоваться против российских компаний. В целом с начала весны, говорят в Group-IB, количество атак вирусов-вымогателей на ресурсы российских компаний утроилось.

Отмечается также, что несколько изменился вектор кибератак: традиционно вирусы-шифровальщики использовались с целью вымогательства за восстановление доступа к данным. Теперь же хакеры всё чаще преследуют иные цели: похищение и публикацию закрытых данных, как это было в ходе инцидента с RuTube, а также нарушение работоспособности ресурсов только ради общественного резонанса.

Lockbit оказался самым быстрым вирусом-шифровальщиком — почти 25 тысяч файлов в минуту

Аналитики специализирующейся на обработке данных компании Splunk провели исследование скорости работы наиболее распространённых программ-вымогателей. Рекордсменом оказался алгоритм Lockbit, шифрующий чуть менее 25 000 файлов за минуту.

 Источник изображения: Pete Linforth / pixabay.com

Источник изображения: Pete Linforth / pixabay.com

В качестве подопытных были взяты образцы нескольких семейств программ-вымогателей, включая Lockbit, Conti и Revil. Эффективность вредоносов заметно варьировалась, однако медианный показатель по шифрованию около 100 000 файлов общим объёмом 53,93 Гбайт составил 42 минуты и 52 секунды. Алгоритм Lockbit оказался самым быстрым — на 86 % быстрее медианного показателя; наиболее эффективный образец программы менее чем за минуту зашифровал почти 25 000 файлов. Авторы проекта уверены, что результаты исследования представляют не только статистический интерес — данные можно будет использовать для оптимизации защиты от шифровальщиков. Компания пообещала опубликовать доклад в специальном разделе своего сайта.

В рамках исследования специалисты выбрали 10 наиболее распространённых семейств вымогателей, и в каждом из них взяли 10 экземпляров бинарных файлов. В качестве испытательной площадки были выбраны частные пространства на Amazon Web Services, где все образцы вредоносов запускались на четырёх хостах: двух под управлением Windows 10 и двух под Windows Server 2019. Вся телеметрия по производительности транслировалась на центральный инстанс для последующего анализа.

Семейства вымогателей выбирались из базы VirusTotal на основе их распространённости за последние два года. «Финалистами» стали LockBit, Babuk, Avaddon, Ryuk, REvil, BlackMatter, Darkside, Conti, Maze и Mespinoza. Медианное время работы вымогателей семейства LockBit оказалось наименьшим среди всех — оно составило 5 минут и 5 секунд. Примечательно, что это время практически не зависело от конфигурации виртуальной машины. Результат оказался закономерным, поскольку вредоносы семейства LockBit шифруют только 4 кбайт каждого файла, нарушая целостность данных, а затем переходят к следующему, тогда как остальные представители этого «зоопарка» шифруют файлы целиком, и это предсказуемо занимает больше времени. Самым медленным оказалось семейство Mespinoza с медианным результатом чуть менее 2 часов.

Российские компании стали чаще платить выкуп киберпреступникам

В нынешнем году российские компании стали чаще соглашаться на требования сетевых злоумышленников о выкупе для восстановления доступа к данным, зашифрованным в ходе целевых атак.

 Источник изображения: pixabay.com / Matryx

Источник изображения: pixabay.com / Matryx

Как сообщает газета «Коммерсантъ», исследование проводилось сотрудниками Positive Technologies. В опросе приняли участие 250 специалистов по информационной безопасности из российских организаций различных отраслей.

Как выяснилось, в 2021 году приблизительно треть компаний в РФ подверглась целевым нападениям киберпреступников. Злоумышленники атакуют прежде всего финансовые организации, предприятия топливно-энергетического комплекса и государственные учреждения.

Опрос показал, что 16 % российских компаний платили выкуп по итогам целевых атак хакеров. Любопытно, что два года назад — в 2019-м — на такие требования злоумышленников не шла ни одна атакованная компания.

 Источник изображения: pixabay.com / Tumisu

Источник изображения: pixabay.com / Tumisu

Сумма выкупа может варьироваться от десятков тысяч до десятков миллионов рублей — в зависимости от размера организации. Отмечается, что на шантаж поддаются в основном небольшие компании.

По оценкам, количество атак шифровальщиков на организации в России в 2021 году увеличилось более чем на 200 %. Этому, по мнению участников рынка, способствует развитие криптовалютной отрасли. Упростилась схема монетизации подобных атак, а поэтому для преступников уменьшились риски быть пойманными.

Жертвы вымогательского ПО хакеров из REvil могут бесплатно восстановить зашифрованные данные

Румынская компания Bitdefender, работающая в сфере информационной безопасности, в сотрудничестве с правоохранительными органами разработала дешифратор, который позволит всем жертвам группировки REvil бесплатно восстановить зашифрованные данные. Хотя Bitdefender не раскрыла информацию касательно того, каким образом у компании оказался ключ для дешифровки, её представители заявили, что созданный ими инструмент позволяет восстановить данные, которые были зашифрованы до 13 июля.

 Изображение: Bleeping Computer

Изображение: Bleeping Computer

«Как указано в нашем блоге, мы получили ключи от надёжного партнёра из правоохранительных органов, и, к сожалению, это единственная информация, которую мы можем раскрыть в настоящее время», — приводит источник слова Богдана Ботезату (Bogdan Botezatu), главы отдела исследования угроз и отчётности в Bitdefender. Он также отметил, что подробности связанного с хакерами из REvil дела могут быть раскрыты после завершения расследования со стороны правоохранительных органов.

 Изображение: Bleeping Computer

Изображение: Bleeping Computer

В настоящее время жертвы REvil, чьи данные были зашифрованы до 13 июля, могут скачать дешифратор с официального веб-сайта Bitdefender и выполнить расшифровку всех данных или каких-то конкретных папок и файлов. Источник отмечает, что данный инструмент был протестирован и доказал свою работоспособность.

Вероятнее всего, правоохранительным органам удалось скомпрометировать серверы REvil, в результате чего и был получен доступ к ключу для дешифровки данных. Хакеры из REvil начали активную деятельность в 2019 году и с тех пор провели массу успешных атак, от которых пострадали компании из разных стран мира. Последняя масштабная кампания REvil связана с атакой на сервис удалённого администрирования VSA компании Kaseya, который в результате стал каналом распространения вымогательского ПО и нанёс ущерб около 1500 компаний по всему миру. Атака на сервис VSA была проведена 2 июля, а уже 13 июля хакеры неожиданно свернули свою деятельность и до недавнего времени не проявляли какой-либо активности.

Kaseya получила ПО для расшифровки данных, затронутых вирусом-вымогателем REvil

Производитель программного обеспечения для удалённого администрирования Virtual System Administrator (VSA), компания Kaseya сообщила, что получила универсальный декриптор против шифровальщика-вымогателя REvil и сейчас помогает своим клиентам восстановить доступ к данным, которые были зашифрованы в результате атаки на инфраструктуру VSA, произошедшей 2 июля.

В разговоре с ресурсом The Record представитель Kaseya подтвердил, что компания получила декриптор «от доверенной третьей стороны», но отказался сообщать, от кого именно. Он добавил, что декриптор был получен вчера. Компания проверила его работоспособность, и сегодня начала рассылать его копии своим пострадавшим клиентам.

6 июля Kaseya сообщила, что в числе пострадавших оказались 60 её пользователей, предоставляющих через VSA услуги удалённого администрирования, и 1500 конечных клиентов, информационные системы которых они обслуживали. Позже компания подтвердила, что внедрить вредоносное ПО в программное обеспечение VSA хакерам удалось через неназванную уязвимость «нулевого дня».

Хакерская группировка REvil выступила с заявлением, в котором сообщила, что берёт на себя ответственность за взлом и распространение вируса-вымогателя через инфраструктуру VSA. Поскольку из-за количества пострадавших хакеры не могли обратиться к каждому из них лично злоумышленники потребовали за универсальный декриптор зашифрованных файлов $70 млн от всех сразу.

Любопытно, что спустя несколько дней, 13 июля все известные в даркнете сайты, связанные с хакерской группировкой REvil, стали недоступны. Хакеры их отключили и ушли в тень, что вызвало панику среди множества компаний, оказавшихся в числе пострадавших.

На момент написания данного текста неизвестно, заплатила ли Kaseya требуемый хакерами выкуп. Возможно, универсальный декриптор был передан Kaseya бесплатно самими REvil, получен от некоей компании, занимающейся вопросами кибербезопасности или предоставлен правоохранительными органами.

Хакеры REvil неожиданно ушли в тень — все сайты группировки прекратили работу

Все известные в даркнете сайты, связанные с хакерской группировкой REvil, в настоящее время недоступны, передаёт издание Bloomberg со ссылкой на экспертов по кибербезопасности. REvil на Западе связывают с Россией и приписывают масштабные кибератаки, затрагивающие сотни американских компаний. Отмечается, что причины, по которым сайты REVil не работают, в настоящее время неизвестны.

 Источник изображения: РИА Новости

Источник изображения: РИА Новости

«Пока слишком рано говорить, но я никогда не видел, чтобы вся их инфраструктура отключалась таким образом. Ни один из их сайтов в настоящее время не работает. Страница, на которой они публиковали данные о своих атаках, исчезла. Отключены все платёжные порталы, через которые жертвам атак предлагалось проводить оплату за восстановление доступа к их ресурсам. Отключён даже их чат», — прокомментировал Аллан Лиска (Allan Liska), старший аналитик фирмы Recorded Future, занимающейся вопросами кибербезопасности.

Как указывает Bloomberg, неожиданное исчезновение сайтов REvil произошло спустя несколько дней после того, как президент США Джо Байден и президент Российской Федерации Владимир Путин обсудили 9 июля вопросы, связанные с недавними хакерскими атаками на американские компании.

Хакеров из группировки REvil обвиняли в атаке на крупнейшего производителя мяса JBS в июне этого года. По данным Bloomberg, из-за атаки JBS вынуждена была приостановить забой скота в Австралии и работу завода по переработке говядины в Канаде. Также была остановлена работа всех девяти предприятий по переработке говядины в США. В JBS заплатил хакерам $11 млн в качестве выкупа.

Недавно REvil взломала инструмент программного интерфейса Virtual System Administrator (VSA) компании Kaseya, установила через него вредоносный код и потребовала от Kaseya и её клиентов выкуп в размере $70 млн в биткоинах за восстановление доступа к данным. В результате этой кибератаки пострадали более 1500 клиентов Kaseya по всему миру.

Запад не раз обвинял РФ во вмешательстве во внутренние дела и кибератаках. Россия все обвинения отвергала, заявив, что никаких доказательств западные страны не представили. Москва также заявляла, что готова к диалогу по кибербезопасности.

В компании Kaseya знали о проблемах с кибербезопасностью до недавнего взлома

По сообщениям сетевых источников, руководство компании Kaseya, чьё программное обеспечение для удалённого администрирования VSA подверглось хакерской атаке ранее в этом месяце, было заранее предупреждено о проблемах с безопасностью. Об этом пишет издание Bloomberg со ссылкой на слова бывших сотрудников Kaseya.

 Изображение: Chris Ratcliffe / Bloomberg

Изображение: Chris Ratcliffe / Bloomberg

Согласно имеющимся данным, в период с 2017 по 2020 годы сотрудники офисов Kaseya в США неоднократно обращали внимание руководства на различные проблемы с кибербезопасностью. Однако такие вопросы обычно не решались в полном объёме. Об этом заявили несколько бывших сотрудников Kaseya, которые занимались проектированием и разработкой программного обеспечения компании. Они пожелали сохранить конфиденциальность, поскольку ранее подписали соглашение о неразглашении информации.

Среди наиболее очевидных проблем с безопасностью называются использование ПО на основе устаревшего кода, использование слабого шифрования и простых паролей в продуктах и серверах Kaseya, несоблюдение основных правил кибербезопасности, таких как регулярное обновление ПО. Один из бывших сотрудников компании рассказал, что в 2019 году отправил руководству 40-страничный документ с описанием проблем безопасности и был уволен примерно через две недели после этого. Он предполагает, что лишился работы из-за того, что занимался изучением вопросов безопасности ПО Kaseya. Ещё один бывший сотрудник рассказал, что компания редко выпускала исправления для своего ПО и хранила пароли клиентов в незашифрованном виде на сторонних платформах. Другие бывшие сотрудники сообщили, что приоритетным направлением при разработке ПО Kaseya является добавление новых функций, а не устранение существующих проблем.

Исследователи из Голландского института раскрытия уязвимостей (DIVD) ещё в апреле этого года уведомили Kaseya о многочисленных проблемах с безопасностью в ПО компании. Специалисты института отмечают, что Kaseya продемонстрировала готовность к сотрудничеству и стремление исправить ситуацию. Компания быстро выпустила патч, но к моменту атаки шифровальщика в этом месяце ещё не все уязвимости были устранены.

Напомним, сервис Kaseya стал каналом распространения шифровальщика-вымогателя, жертвами которого стали около 1500 конечных клиентов из разных стран мира. Ответственность за проведение этой атаки взяли на себя хакеры из группировки REvil, которые потребовали от жертв вредоносного ПО общий выкуп в $70 млн за предоставление универсального дешифратора.

От масштабной атаки шифровальщика пострадало 1500 предприятий, подтвердила Kaseya

Продолжает развиваться ситуация вокруг взлома сервиса удалённого администрирования VSA компании Kaseya, который стал каналом распространения для шифровальщика-вымогателя. Сегодня Kaseya сообщила уточнённые данные о числе пострадавших: ими стали 60 её пользователей, предоставляющих через VSA услуги удалённого администрирования, и 1500 конечных клиентов, информационные системы которых они обслуживали.

 CNN

CNN

Как сообщили в Kaseya, хакерская атака не имела продолжения. Вредонос внедрился в сети всех пострадавших компаний ещё в пятницу, и с тех пор никаких сообщений о новых компрометациях пользователей VSA не поступало. В конечном итоге пострадало от шифровальщика сравнительно небольшое число пользователей VSA — порядка 1500. Но последствия атаки ощутили многие, потому что она затронула широкий спектр бизнесов, начиная от шведских супермаркетов и заканчивая детскими садами в Новой Зеландии. Утешает тут разве только то, что всё могло быть гораздо хуже: суммарное число клиентов, использующих данное ПО оценивается числом от 800 тысяч до миллиона.

Kaseya пообещала скорое включение серверов на своей стороне — на данный момент её представители говорят о возобновлении работы и применении необходимых патчей в течение 24 часов. При этом серверы на стороне клиентов компания продолжает призывать держать в выключенном состоянии, но обещает выпустить специальные рекомендации для них в самое ближайшее время.

Расследование взлома позволило выявить, что атака чуть было не была предотвращена. Исследователи из Голландского института раскрытия уязвимостей ранее обнаружили в VSA несколько уязвимостей нулевого дня, в том числе и CVE-2021-30116, которая как раз и использовалась в атаке. Необходимый патч уже готовился в Kaseya — она планировала развернуть его после выходных.

Всё ещё остаётся непонятным, как Kaseya предлагает решать проблему тем клиентам, чьи данные оказались зашифрованы вредоносом. Хакерская группировка REvil, взявшая на себя ответственность за атаку, требует $70 млн за инструмент для расшифровки данных, но в частных беседах соглашается снизить стоимость выкупа до $50 млн.

Хакеры, стоящие за разрушительной атакой шифровальщика-вымогателя, затребовали $70 млн

Хакерская группировка REvil взяла на себя ответственность за крупномасштабную хакерскую атаку на программное обеспечение для удалённого администрирования VSA компании Kaseya. Хакеры рапортуют о миллионе заражённых вымогателем-шифровальщикам систем и называют цену универсального дешифратора — $70 млн в биткоинах.

 Sophos.com

Sophos.com

До сих пор о причастности REvil к кибератаке на IT-инфраструктуру тысяч компаний через программное обеспечение VSA говорилось с добавлением слова «вероятно». Но хакерская группировка, предположительно состоящая из русскоговорящих хакеров, решила развеять все сомнения и опубликовала заявление в своём блоге.

«В пятницу (02.07.2021) мы начали атаку на провайдеров удалённого администрирования. Было заражено более миллиона систем. Если кто-то хочет договориться об универсальном дешифраторе — наша цена $70 000 000 в BTC, и мы опубликуем дешифратор, который расшифрует файлы сразу всех жертв, так что каждый сможет восстановить свои системы после атаки менее чем за час. Если вы заинтересованы в такой сделке, свяжитесь с нами, используя инструкцию в файле readme на поражённой системе», — сказано в блоге REvil.

Таким образом REvil предлагает обращаться к ним не каждой потерпевшей компании отдельно, а всем сразу, например, через Kaseya, программное обеспечение которой стало каналом для распространения вредоноса. Параллельно допускается возможность и индивидуального обращения к хакерам — размер выкупа разнится для каждой компании. С некоторых хакеры требуют $5 млн, с некоторых — $500 тыс. Самый маленький выкуп, про который известно на данный момент, — $45 тыс.

Если требование REvil о едином 70-миллионном выкупе будет выполнено, то он станет крупнейшим в истории платежом в адрес кибервымогателей. На данный момент компания Kaseya всё ещё не даёт никаких определённых комментариев. Поэтому о её намерениях заплатить выкуп или противостоять атаке другими способами ничего не известно.

Атака, напомним, началась в пятницу поздно вечером. Хакеры, смогли воспользоваться эксплойтом в программном обеспечении для удалённого администрирования VSA, что дало им доступ к многочисленным клиентским компьютерам.

Тысячи компаний в 17 странах: ущерб от новой атаки шифровальщика становится всё серьёзнее

Стали известны новые подробности про масштабную атаку на программное обеспечение для удалённого администрирования Virtual System Administrator (VSA) компании Kaseya. Шифровальщик-вымогатель, широко распространившийся через инфраструктуру VSA, внедрился в сети тысяч компаний в 17 странах, что заставило экспертов по кибербезопасности охарактеризовать атаку как крупнейшую в истории.

 News18.com

News18.com

Эксперты предполагают, что внедрить вредоносное ПО в программное обеспечение VSA хакерам удалось через неназванную уязвимость «нулевого дня». Однако генеральный директор Kaseya Фред Воккола (Fred Voccola) пока не подтвердил эту версию, исключив при этом, что его сотрудники могли попасться на фишинг. Кроме того, он сказал, что не стоит возлагать всю вину за произошедшее на одну Kaseya, скорее всего взлому поспособствовали и какие-то иные программные продукты сторонних фирм. Как бы то ни было, в конечном итоге шифровальщик рассылался пользователям VSA вместе с автоматическим обновлением программы.

Атака, как предполагается, проведена группировкой REvil (считается, что она связана с Россией), которой не далее как в мае удалось получить выкуп в размере $11 млн с производителя мяса JBS. Новая атака отличается особо широким размахом, теперь список пострадавших включает сразу тысячи предприятий и государственных учреждений на всех континентах. Зловред проникает в сети компаний, шифрует все данные и требует от жертв выкуп за доступ к ключу шифрования. В качестве примера можно привести шведскую сеть продовольственных магазинов Coop: восемь сотен её торговых точек не работают уже второй день из-за того, что шифровальщик поразил кассовые аппараты компании.

Генеральный директор Kaseya предупредил, что пострадавших по самым скромным оценкам тысячи, но в основном это небольшой бизнес вроде частных клиник, библиотек, дизайнерских фирм и проч. Шифровальщик выявлен как минимум в 17 странах, помимо США, атака зафиксирована в Великобритании, Южной Африке, Канаде, Аргентине, Мексике, Индонезии, Новой Зеландии и даже в Кении. Оценить полный масштаб бедствия не представляется возможным, поскольку в США на выходные выпал национальный праздник, и многие из фирм пока даже не в курсе, что в их сетях мог похозяйничать опасный зловред.

Размеры выкупов, судя по всему, сильно разнятся. С некоторых компаний хакеры требуют $5 млн, с некоторых — $500 тыс. Самый маленький выкуп, про который известно на данный момент, — $45 тыс. Как говорит эксперт по кибербезопасности Джон Хэммонд (John Hammond) из Huntress Labs, обычно при атаках шифровальщиков-вымогателей хакеры изучают содержимое зашифрованных файлов и определяют выкуп исходя из чувствительности данных. Однако на этот раз атака происходит широким фронтом, поэтому у хакеров, скорее всего, нет времени проводить подробный анализ целей.

 Kaseya

Kaseya

Всего программное обеспечение VSA используют 37 тысяч клиентов, причём Kaseya утверждает, что шифровальщик успел распространиться только на 50-60 целей. Однако проблема в том, что 70 % из этих целей это компании, которые занимаются удалённым администрированием IT-инфраструктуры с использованием программного обеспечения VSA. И вот уже через них шифровальщик смог распространиться максимально широко. Вчера Kaseya выпустила специальную утилиту для проверки уязвимости сетей, её, по словам компании, уже запросили примерно 900 клиентов.

Исправление для уязвимости, через которую вирус-шифровальщик атакует сети компаний, должно быть выпущено в течение ближайших дней. А пока Kaseya продолжает рекомендовать своим клиентам не включать серверы.

Сетевые хранилища QNAP подверглись массивной атаке программы-шифровальщика

Три дня назад начались массивные атаки на сетевые хранилища QNAP. Используя незакрытые уязвимости в программном обеспечении хранилищ, шифровальщик Qlocker запаковывает файлы пользователей в архивы 7zip и защищает их паролем. Жертва атаки может получить пароль только после оплаты на счёт вымогателя 0,01 биткоина, что примерно равно $500. Компания QNAP настоятельно рекомендует всем срочно обновить три приложения, чтобы защититься от уязвимости.

Несколько дней назад QNAP исправила в своём ПО уязвимости CVE-2020-36195 и CVE-2020-2509. По предположению компании, шифровальщик Qlocker использует уязвимость CVE-2020-36195. Чтобы защититься от атак вымогателя, пользователям необходимо лишь обновить QTS, Multimedia Console и надстройку Media Streaming до последних версий.

Также в компании порекомендовали не перегружать сетевые хранилища, если шифровальщик их запаковал и зашифровал. В QNAP изучают возможность вернуть пострадавшим пользователям контроль над файлами без уплаты выкупа.

Интересно, что некоторое время портал в сети Tor, где принимался выкуп и выдавались пароли на расшифровку файлов, имел в своём механизме приёма оплаты дыру. Специалистами по безопасности была обнаружена возможность подставлять в поле ввода данных о транзакции слегка изменённые чужие данные об оплате, после чего пользователь получал пароль на расшифровку без фактического внесения выкупа. Эта возможность была доступна в течение часа, после чего оператор Qlocker её прикрыл.

С 20 апреля счёт жертв Qlocker идёт на сотни в день. Компания QNAP ещё раз напоминает, что важно быстро обновить приложения, чтобы не попасть на удочку вымогателя.

Хакеры начали использовать новые вирусы-вымогатели для атак через уязвимость в Microsoft Exchange Server

Microsoft опубликовала предупреждение, в котором говорится об обнаружении «нового семейства программ-вымогателей», используемых для атак на серверы Exchange, на которых ещё не были исправлены обнаруженные недавно уязвимости нулевого дня.

Вредоносное ПО, способное шифровать файлы и похищать данные, получило имя DearCry. Для защиты от такого рода атак разработчики рекомендуют в срочном порядке осуществить установку выпущенного несколько дней назад исправления, которое устраняет несколько опасных уязвимостей в Exchange Server.

Напомним, о выявлении опасных уязвимостей в Exchange стало известно в начале этого месяца. На тот момент Microsoft обвинила китайскую хакерскую группировку Hafnium в атаках на десятки тысяч организаций, в ходе которых эксплуатировались упомянутые уязвимости. Однако на этой неделе компания ESET, работающая в сфере информационной безопасности, сообщила, что уязвимости в Exchange использует как минимум десять хакерских группировок, поддерживаемых правительствами разных стран.

Согласно имеющимся данным, злоумышленники активизировали работу, направленную на компрометацию уязвимых серверов, которые ещё не успели получить исправление, с целью внедрения вредоносов DearCry. «Мы обнаружили и сейчас блокируем новое семейство программ-вымогателей, которые используются после первоначального взлома локальных серверов Exchange, не получивших исправление. Microsoft защищает от этой угрозы, известной как Ransom:Win32/DoejoCrypt.A или DearCry», — говорится в сообщении Microsoft.

Разработчики также отметили, что клиентам, которые используют антивирус Microsoft Defender и регулярно устанавливают обновления, не требуется предпринимать каких-либо дополнительных действий кроме установки патча. Этого будет достаточно, чтобы обезопасить свои устройства от атак через уязвимости в Exchange.

Сервера Foxconn атаковала программа-шифровальщик. Данные не могут восстановить вторую неделю

Как сообщает Bleeping Computer, 29 ноября мексиканский завод Foxconn по производству электроники был атакован программой-шифровальщиком DoppelPaymer. Источник отмечает, что сетевая структура завода, за информационную безопасность которой отвечает американское подразделение, до сих пор полностью не восстановлена. Foxconn не стала платить выкуп в размере $34 млн за дешифровку взломанных серверов и всё восстанавливает сама.

Атака состоялась в выходной день и привела к шифровке от 1200 до 1400 серверов на предприятии в Сьюдад-Хуарес, Мексика, где, в частности, выпускается продукция для брендов Sharp и Belkin. Хакеры похитили 100 Тбайт незашифрованных данных до их архивирования и уничтожили до 30 Тбайт заархивированных данных из примерно 75 Тбайт резервных копий. Выкуп за дешифровку серверов и возврат данных было предложено сделать в биткоинах на сумму 1804,0955 BTC, что по курсу соответствовало примерно $34 млн.

 Копия экрана с требованием выкупа. Источник изображения: Bleeping Computer

Копия экрана с требованием выкупа. Источник изображения: Bleeping Computer

Судя по всему, компания не стала платить выкуп. Сайт завода, отмечает источник, до сих пор недоступен. Также Bleeping Computer докладывает, что похищенная на заводе информация уже публикуется в Интернете на тематических сайтах. Правда, утечек личных данных сотрудников или какой-либо информации о финансовой деятельности предприятия пока не замечено. Представители Foxconn подтвердили источнику факт атаки и сообщили, что на предприятии уже повышен уровень информационной безопасности.

window-new
Soft
Hard
Тренды 🔥
Операторы связи в РФ смогут совместно использовать инфраструктуру и временно не расширять хранилища по «закону Яровой» 15 мин.
MSI представила игровой монитор G274QRFW с разрешением WQHD и частотой обновления 170 Гц 20 мин.
Китай испытал на ракете парус для ускоренного свода с орбиты космического мусора 2 ч.
Итальянские предприятия Stellantis из-за дефицита чипов в этом году не смогут выпустить около 220 тысяч автомобилей 2 ч.
Южная Корея намерена нарастить использование атомной энергии к 2030 году как минимум до 30 % 2 ч.
Vivo анонсирует флагманские смартфоны iQOO 10 до конца июля 2 ч.
NASA потеряло связь с направляющимся к Луне спутником CAPSTONE 2 ч.
Продажи Nintendo Switch в Японии упали на 33 % на фоне перебоев с поставками 2 ч.
Правительство РФ отказалось от дополнительных мер поддержки операторов связи, вероятен рост тарифов 2 ч.
Тайвань отстаёт от западных стран и Японии по суммам расходов на фундаментальные исследования 2 ч.