Обзор новых программ-вымогателей за период с 22 по 28 февраля 2021 года

Прошедшая неделя ознаменовалась рядом крупных атак, включая атаки на Discount Car and Truck Rentals, предполагаемую атаку на UL, TietoEVRY, Министерство финансов Эквадора и его крупнейший банк Banco Pichincha.

Разработчики Cyberpunk 2077 не могут работать из-за последствий хакерской атаки Поскольку большинство сотрудников работает удаленно, после взлома возникли проблемы с доступом к виртуальной приватной сети, а без неё работать просто невозможно. В итоге большую часть специалистов отправили в отпуск, заморозив их счета в банках, а немногочисленные разработчики, которые уже вернулись в варшавский офис, трудятся над обновлениями для Cyberpunk 2077.

Ведущая канадская компания по аренде автомобилей Discount Car and Truck Rental подверглась атаке программы-вымогателя DarkSide, в ходе которой хакеры предположительно похитили 120 ГБ данных.

Исследователь безопасности, использующий псевдоним Cerberus, опубликовал дешифратор для вымогательского ПО.

Исследователь безопасности, использующий псевдоним Petrovic, обнаружил новый вариант вымогателя Makop, который добавляет расширение .vassago.

Исследователь безопасности Майкл Гиллеспи (Michael Gillespie) обнаружил новую программу-вымогатель, которая добавляет расширение .cadq к зашифрованным файлам. Гиллеспи также обнаружил новую программу-вымогатель, которая добавляет расширение .Snoopdoog.

Атака вымогательской группировки Cuba ransomware на широко используемый платежный процессор Automatic Funds Transfer Services (ATFS) вызвала серьезный сбой в работе систем, сделав его web-сайт недоступным и повлияв на обработку платежей. Из-за большого количества потенциальных данных, предположительно украденных хакерами, города, использующие AFTS в качестве своей платежной системы или службы проверки адресов, начали публиковать предупреждения о возможной утечке данных.

Некоммерческая организация Center for Internet Security (CIS), занимающаяся защитой IT-систем и данных, объявила о запуске бесплатной защиты от программ-вымогателей для частных больниц в США с помощью службы Malicious Domain Blocking and Reporting (MDBR).

Компания по стандартизации и сертификации в области техники безопасности Underwriters Laboratories (UL LLC) подверглась атаке программы-вымогателя, которая зашифровала устройства в ее центре обработки данных. Для предотвращения дальнейшего распространение атаки компания отключила свои системы, что лишило некоторых сотрудников возможности выполнять свою работу. Представители компании приняли решение не платить выкуп и вместо этого восстановить данные из резервных копий.

Канадский исследовательский университет Лейкхед стал жертвой кибератаки, которая вынудила учреждение отключить доступ к своим серверам. Об этом сообщило издание BleepingComputer.

Исследователь безопасности Якуб Кроустек (Jakub Kroustek) обнаружил новые варианты вымогателя Dharma, которые добавляют расширение .pauq, .clman и .four к зашифрованным файлам.

Хакеры, стоящие за кибератаками с использованием ПО для обмена файлами Accellion FTA, связаны с известной киберпреступной группировкой FIN11, установили эксперты из FireEye Mandiant. Атаки на FTA от компании Accellion начались в декабре 2020 года и привели к компрометации данных, принадлежащих клиентам Accellion. В ходе атак злоумышленники эксплуатировали множественные уязвимости в ПО для обмена файлами. Как заявили в компании, все уязвимости были исправлены, и «только 100 из 300 клиентов FTA стали жертвами атаки». Узнав о случившемся, производитель объявил о намерении прекратить поддержку FTA 30 апреля 2021 года.

Финский гигант ИТ-услуг TietoEVRY пострадал от атаки программы-вымогателя, которая вынудила его отключить службы клиентов.

Исследователь безопасности, использующий псевдоним Emmanuel_ADC-Soft, обнаружил новый вариант программы-вымогателя Dharma, который добавляет расширение .urs к зашифрованным файлам.

Исследователь безопасности, использующий псевдоним dnwls0719, обнаружил новый вариант вымогателя ThunderX/Ranzy, который добавляет расширение .RANZYLOCKED к зашифрованным файлам.

Операторы вымогательского ПО Clop атаковали канадскую авиастроительную компанию Bombardier. Как отметили эксперты, вся похищенная преступниками информация датируется началом 2010-х годов. По результатам расследования стало известно, что преступники получили доступ к данным, воспользовавшись уязвимостью в стороннем приложении для передачи файлов, работающем на специально созданных серверах, изолированных от основной IT-сети Bombardier.

Голландский исследовательский совет Dutch Research Council (NWO) подтвердил атаку операторов вымогательского ПО DoppelPaymer и утечку данных. Атака вынудила организацию отключить свои серверы и приостановить процессы распределения грантов

Исследователь безопасности, использующий псевдоним S!Ri, обнаружил новую программу-вымогатель, которая добавляет расширение .assist.

Французское национальное агентство кибербезопасности обнаружило новый вариант программы-вымогателя Ryuk с функционалом червя, позволяющим распространяться на другие устройства в локальных сетях жертв.

Хакерская группа под названием Hotarus Corp взломала Министерство финансов Эквадора и крупнейший банк страны Banco Pichincha. Как утверждают киберпреступники, им удалось похитить конфиденциальные данные. Хакеры в ходе атак использовали вымогательское ПО Ronggolawe (также известное как AwesomeWare).