Обзор инцидентов с участием программ-вымогателей за период с 15 по 22 ноября 2021 года

Новая хакерская группировка под названием Moses Staff, преследующая политические мотивы, предположительно стоит за волной целенаправленных атак на израильские организации, начавшихся в сентябре 2021 года. Хакеры похищали из атакованных сетей конфиденциальную информацию, после чего шифровали файлы своих жертв без возможности восстановить доступ или договориться о выкупе. Группировка открыто заявляет о том, что атакует израильские организации с целью причинения ущерба путем утечки похищенных чувствительных данных и шифрования сетей жертв без требования выкупа.

Исследователь в области кибербезопасности, использующий псевдоним PCrisk, обнаружил новые варианты программы-вымогателя STOP, которые добавляют расширения .futm и .utjg.

Исследователи из Intel471 проанализировали киберпреступное подполье с целью определить, какие платформы считаются наиболее надежными в устранении следов криптовалютных транзакций. На сегодняшний день хакеры используют четыре популярных сервиса криптомикширования — Absolutio, AudiA6, Blender и Mix-btc. За исключением Mix-btc, все платформы работают в сети Tor, гарантируя анонимность и конфиденциальность своих пользователей. Они поддерживают криптовалюту Bitcoin, Bitcoin Cash, Dash, Ethereum, Ethereum Classic, Litecoin, Monero и Tether.

На прошлой неделе началась новая волна атак, в ходе которой злоумышленики взломали около 300 сайтов на базе WordPress. Преступники отображали на взломанных сайтах поддельные уведомления о шифровании, пытаясь обманом заставить владельцев сайтов заплатить 0,1 биткойна за восстановление доступа к файлам.

Председатель Комитет по надзору и правительственной реформе США Кэролайн Б. Мэлони (Carolyn B. Maloney) рассказала о том, как вымогательские группировки атаковали CNA Financial Corporation (CNA), Colonial Pipeline Company (Colonial) и JBS Foods USA. (JBS), и как можно разработать законодательство и меры политики для противодействия угрозе программ-вымогателей.

Исследователь в области кибербезопасности, использующий псевдоним dnwls0719, обнаружил новую программу-вымогатель, которая добавляет расширение .chichi.

Специалисты компании Flashpoint зафиксировали на русскоязычных хакерских форумах некоторую необычную активность. Администраторы форума RAMP, похоже, обращаются к китайским коллегам с предложением участвовать в обсуждениях, делиться советами и сотрудничать при атаках.

Команда PRODAFT Threat Intelligence (PTI) получила ценную информацию о внутренней работе группы вымогателей Conti. Команда PTI получила доступ к инфраструктуре Conti и определила реальные IP-адреса рассматриваемых серверов. В отчете содержится беспрецедентная подробная информация о том, как работает вымогательская группировка Conti, как она выбирает свои цели, сколько целей она взломала и пр.

Новая вымогательская группировка под названием Memento применяет необычный подход к блокировке файлов в архивах, защищенных паролем, после того, как их метод шифрования обнаруживается антивирусным ПО. Операторы вымогателя эксплуатируют уязвимость (CVE-2021-21971) в web-клиенте VMware vCenter Server для первоначального доступа к сетям жертв.

Исследователь в области кибербезопасности, использующий псевдоним S!Ri, обнаружил новый вариант вымогателя HelloKitty, который добавляет расширение .boombye и отправляет записку о выкупе под названием _read_me_bro.txt.

Федеральные банковские регулирующие органы США утвердили новое правило, согласно которому банки должны уведомлять свои основные федеральные регулирующие органы о серьезных инцидентах, связанных с компьютерной безопасностью, в течение 36 часов.

Исследователи в области кибербезопасности из Cryptolaemus, GData и Advanced Intel выявили случаи, когда вредоносная программа TrickBot устанавливает на зараженные устройства загрузчик для Emotet. Если раньше Emotet устанавливал TrickBot, то теперь злоумышленники используют метод, получивший название Operation Reacharound, для восстановления ботнета Emotet с использованием существующей инфраструктуры TrickBot.