Обзор инцидентов с участием программ-вымогателей за период с 9 по 16 августа 2021 года

Обзор инцидентов с участием программ-вымогателей за период с 9 по 16 августа 2021 года

На прошлой неделе хакеры начали активно эксплуатировать уязвимость Windows PrintNightmare для повышения привилегий на устройствах.

image

Большую часть внимания общественности на прошлой неделе привлекла публикация загадочного универсального декриптора для файлов, зашифрованных вымогательской группировкой REvil. ИБ-экспертам с помощью этого ключа удалось расшифровать файлы, зашифрованные в ходе атаки на Kaseya. Специалисты также опробовали декриптор на других образцах REvil, собранные за последние два года. Декриптор не работал, а значит, это не мастер-ключ дешифрования для всех жертв REvil.

Кибервымогательская группировка El_Cometa, ранее известная под названием SynAck, опубликовала мастер-ключ для пользователей, ставших их жертвами в период с июля 2017-го по начало 2021 года. Как сообщили представители SynAck, они решили выпустить мастер-ключ для восстановления файлов, зашифрованных вымогателем в ходе старых операций, поскольку намерены сосредоточиться на новых. Так, в конце прошлого месяца группировка начала новые операции под названием El_Cometa.

Тайваньский производитель сетевых хранилищ (NAS) Synology предупредил клиентов о вредоносной кампании, в ходе которой операторы ботнета StealthWorker атакуют сетевые устройства для хранения данных и заражают их программами-вымогателями. По словам команды специалистов Product Security Incident Response Team (PSIRT) Synology, NAS-устройства Synology, скомпрометированные в результате данных атак, используются в дальнейших попытках взломать другие системы под управлением Linux.

Как сообщили специалисты из компании Microsoft, облачная платформа SIEM (Security Information and Event Management) Azure Sentinel теперь может обнаруживать потенциальную активность программ-вымогателей с помощью модели машинного обучения Fusion.

Исследователь в области кибербезопасности, использующий псевдоним PCrisk, обнаружил новый вариант программы-вымогателя STOP, который добавляет расширение .repg, и новый вариант вымогателя Dharma, который добавляет расширение .JRB.

Недавно обнаруженный образец вымогательского ПО eCh0raix получил функцию шифрования сетевых хранилищ (NAS) QNAP и Synology. Вредоносное ПО eCh0raix, также известное как QNAPCrypt, было впервые обнаружено в июне 2016 года. Вымогатель атаковал NAS-устройства QNAP «волнами». Первая «волна» имела место в июне 2019 года, а вторая -–в июне 2020 года. В 2019 году eCh0raix также шифровало устройства производства Synology, предварительно взламывая их с помощью брутфорса. По словам специалистов подразделения Unit 42 ИБ-компании Palo Alto Networks, если раньше вредонос атаковал устройства QNAP и Synology раздельно, то с сентября 2020 года у него появилась функция шифрования обоих семейств устройств.

Разработчик и издатель компьютерных игр Crytek подтвердил , что в октябре 2020 года стал жертвой вымогательского ПО Egregor. Хакеры зашифровали системы компании, похитили файлы с конфиденциальными данными клиентов и опубликовали их на своем сайте утечек в даркнете. Crytek разослала затронутым пользователям соответствующие уведомления только в августе 2021 года.

Восемь округов государственных школ K-12 в США стали жертвами атак с использованием вымогательского ПО Pysa.

Консалтинговая компания Accenture, входящая в список Fortune 500, стала жертвой атаки с использованием вымогательского ПО LockBit. По словам представителей компании, инцидент не повлиял на ее работу, а затронутые системы были восстановлены из резервных копий. Как сообщило издание The Record, Accenture в электронном письме своим клиентам не только подтвердила атаку, но и значительно преуменьшила ее влияние.

Специалисты из Cyble Research Lab обнаружили , что индийская компания Pine Labs подверглась атаке программ-вымогателей. Атака была организована вымогательской группировкой BlackMatter. В результате атаки преступники получили доступ к информации об услугах и других частных соглашениях между несколькими индийскими банками и Pine Labs, финансовым отчетам и более 500 тыс. уникальных записей, содержащих контактную информацию (телефон, имя, e-mail).

Исследователь в области кибербезопасности, использующий псевдоним dnwls0719, обнаружил новый вариант программы-вымогателя Phobos, который добавляет расширение .HORSEMONEY.

Вымогательские группировки Vice Society и Magniber начали активно эксплуатировать уязвимость PrintNightmare в диспетчере очереди печати Windows для перемещения по сетям своих жертв.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!