Вымогатель CryptXXX теперь распространяется через спам

image

Теги: вымогательское ПО, спам, шифрование

Ранее злоумышленники в данных целях использовали только наборы эксплоитов Angler и Neutrino.

ИБ-исследователи Proofpoint обнаружили новую мошенническую кампанию, использующую спам-рассылку для распространения вымогателя CryptXXX. Злоумышленники отправляли электронные письма с прикрепленными документами, содержавшими вредоносные макросы для загрузки и установки CryptXXX. Ранее вымогатель распространялся только с помощью набора эксплоитов Angler и Neutrino. 

Атакующие использовали методы социальной инженерии с целью заставить пользователя открыть вредоносные документы. Темой подобных сообщений были «Нарушение системы безопасности – отчет о безопасности». По словам экспертов, мошенническая кампания не достигла больших масштабов. Злоумышленники отправили всего несколько тысяч электронных сообщений. Однако, это может быть только тестовым испытанием новой моделью распространения CryptXXX и в ближайшее время стоит ожидать более массивных атак.

На данный момент CryptXXX находится в активной разработке и совсем скоро может появиться новая версия вредоноса, еще не изученная специалистами. Напомним , некоторое время назад пострадавшие от версий вредоноса, добавляющих расширения .Crypz и .Cryp1 к зашифрованным файлам, смогли бесплатно получить ключи для восстановления зашифрованного контента.

Не исключено, что такая "щедрость" может быть результатом ошибки в платежной системе злоумышленников. Также возможно, что операторы CryptXXX решили избавиться от старого кода и предлагать ключи дешифрования, как поступили операторы вымогателя TeslaCrypt в мае текущего года после завершения кампании.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.