Обзор инцидентов с участием программ-вымогателей за период с 26 апреля по 3 мая 2021 года

Обзор инцидентов с участием программ-вымогателей за период с 26 апреля по 3 мая 2021 года

Главной новостью прошлой недели стало сообщение операторов Babuk Locker о прекращении своей преступной деятельности.

image

Минувшая неделя ознаменовалась рядом крупных кибератак с использованием вымогательского ПО. Обслуживающая Ливерпуль и его агломерацию Мерсисайд пригородно-городская скоростная рельсовая система Merseyrail стала жертвой кибератаки с использованием вымогательского ПО Lockbit. Операторы вымогателя использовали систему электронной почты для отправки сотрудникам и журналистам сообщений об атаке под названием Lockbit Ransomware Attack and Data Theft («Атака шифровальщика Lockbit и хищение данных»). Об этом сообщило издание Bleeping Computer.

Муниципалитет города Уистлер в Британской Колумбии, Канада, подвергся кибератаке с использованием вымогательского ПО. В результате атаки была отключена сеть, web-сайт, электронная почта и телефонные системы муниципалитета.

Операторы Babuk Locker, атаковавшие Управление полиции столичного округа Колумбия (США), пригрозили в случае неуплаты выкупа обнародовать данные уголовных расследований и раскрыть полицейских информаторов. Хакеры получили доступ к отчетам о расследованиях, дисциплинарным досье полицейских, документам по местным организованным преступным группам (ОПГ), фотографиям преступников и административной документации. Как сообщила группировка, в общей сложности ей удалось похитить более 250 ГБ данных.

Однако, после всего нескольких месяцев активности операторы вымогательского ПО Babuk приняли решение прекратить свою преступную деятельность. На своем сайте утечек в даркнете они опубликовали короткое сообщение о намерении покинуть бизнес, поскольку уже достигли поставленной цели. Тем не менее, в отличие от других прекративших свою деятельность вымогательских группировок, которые выкладывают ключи для расшифровки файлов в открытый доступ или даже возвращают выкуп своим жертвам, операторы Babuk решили опубликовать исходный код своего вымогательского ПО.

Операторы вымогательского ПО REvil по неизвестным причинам удалили похищенные схемы Apple со своего сайта утечек данных. Группировка взломала системы компании Quanta Computer (партнера Apple) и похитила чертежи будущих ноутбуков MacBook и других устройств. Хакеры потребовали выкуп от Quanta Computer в размере $50 млн до 27 апреля и угрожали опубликовать в открытом доступе более десятка схем и чертежей компонентов MacBook. Компании Quanta Computer и Apple отказались вести переговоры и группировка REvil удалила все упоминания о взломе и опубликованные схемы.

Исследователь безопасности, использующий псевдоним dnwls0719, обнаружил новые версии программы-вымогателя Dharma, которые добавляют расширения .ALNBR и .cum к зашифрованным файлам.

Специалисты из компании Coveware в своем ежеквартальном отчете отметили , что в первые три месяца 2021 года сумма выкупа, требуемого вымогательскими группировками, существенно возросла и теперь составляет в среднем $220 298, тогда как в три последних месяца 2020 года этот показатель находился на уровне $154 108. Одна из причин роста заключается в увеличении активности ряда вымогательских группировок, требующих миллионы долларов в биткойнах за ключ для восстановления зашифрованной информации.

Исследователь безопасности, использующий псевдоним PCrisk, обнаружил новый вариант программы-вымогателя Phobos, который добавляет расширение .lookfornewitguy.

Серверы Microsoft SharePoint теперь присоединились к списку сетевых устройств, которые вымогательские группировки используют для проникновения в корпоративные сети компаний и организаций. Группировка отслеживается экспертами под кодовыми названиями Hello или WickrMe (из-за использования зашифрованного мессенджера Wickr для ведения переговоров с жертвами). атаки Hello/WickrMe обычно связаны с использованием уязвимости ( CVE-2019-0604 ) в серверах совместной работы Microsoft SharePoint. Проблема позволяет злоумышленникам получить контроль над сервером SharePoint и загрузить web-оболочку для установки маяка Cobalt Strike. Маяк запускает автоматизированные PowerShell-скрипты, которые в конечном итоге загружают и устанавливают последнюю программу-вымогатель Hello.

Вымогательская группировка REvil атаковала сеть судебной системы бразильского штата Риу-Гранди-ду-Сул, зашифровав файлы на компьютерах, что привело к приостановке работы судов. В сообщении в Twitter представители Tribunal de Justiça do Estado do Rio Grande do Sul (TJRS) уведомили об инциденте и порекомендовали «внутренним пользователям не использовать удаленный доступ к компьютеру и не авторизовываться на компьютерах в сети TJRS». Вымогатели потребовали $5 млн за восстановление данных.

Преследующие финансовую выгоду киберпреступники эксплуатировали уязвимость в SonicWall SMA 100 Series VPN для развертывания в сетях североамериканских и европейских организаций вымогательского ПО FiveHands. Группировка UNC2447 использовала уязвимость CVE-2021-20016 до того, как она была исправлена производителем в феврале 2021 года. Эта же уязвимость эксплуатировалась в январе 2021 года для атаки на внутренние системы SonicWall.

Клиентам QNAP еще раз настоятельно рекомендуется защитить свои устройства сетевого хранения данных (NAS) для защиты от атак операторов программы-вымогателя Agelocker, нацеленных на их данные. Представитель QNAP PSIRT сообщил , что на устройствах NAS, недавно взломанных программой-вымогателем AgeLocker, использовалась устаревшая прошивка.


Мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру в нашем Yotube выпуске.