Обзор инцидентов с участием программ-вымогателей за период с 11 по 18 апреля 2022 года

Обзор инцидентов с участием программ-вымогателей за период с 11 по 18 апреля 2022 года

Одной из громких новостей прошлой недели стало сообщение о вымогателях Karakurt, которые оказались подразделением синдиката Conti.

image

На прошлой неделе итальянский модный бренд Ermenegildo Zegna подтвердил атаку программы-вымогателя в августе 2021 года, которая привела к обширному сбою IT-систем. Подробности об инциденте стали известны после подачи формы SEC 424B3 , которая призвана предупредить инвесторов о рисках нарушения бизнеса и утечках данных в результате кибератак. Кибератака произошла в августе 2021 года, затронув большинство IT-систем компании. Как сообщили представители Zegna, компания не вступала в переговоры со злоумышленниками касательно уплаты выкупа, поэтому им пришлось восстанавливать данные из резервных копий в течение нескольких недель после инцидента.

Исследователь в области кибербезопасности, использующий псевдоним PCrisk, обнаружил новую программу-вымогатель, которая добавляет расширение .blockZ к зашифрованным файлам и оставляет записку с требованием выкупа под названием How To Restore Your Files.txt. PCrisk также обнаружил новую программу-вымогатель под названием Democracy Whisperers, которая добавляет расширение .democ и оставляет записку с требованием выкупа под названием Restore Files.txt. Программа-вымогатель основана на утечке исходного кода Babuk.

PCrisk выявил новый вариант вымогателя Snatch с расширением .sdhvqq, новые варианты программы-вымогателя STOP, которые добавляют расширения .ghas, .hajd, .qall, .qpss, новый вариант MedusaLocker, добавляющий расширение .stopfiles к зашифрованным файлам, и новые варианты Makop, которые добавляют расширения .phmqdw и .sessions к зашифрованным файлам.

Специалисты из компании Sophos рассказали подробности о кибератаке неизвестных группировок на сети регионального правительственного агентства США. Хакеры провели более пяти месяцев в поисках нужной информации, а две или более группировок были активны в сети жертвы до того, как последняя развернула полезную нагрузку программы-вымогателя Lockbit. В течение всего периода атаки хакеры использовали браузер Chrome для поиска (и загрузки) хакерских инструментов на скомпрометированный компьютер, где они получили свой первоначальный доступ. Хотя злоумышленники удалили многие журналы событий с подконтрольных систем, экспертам удалось обнаружить некоторые цифровые следы.

Русскоязычная группа вымогателей OldGremlin провела две новые атаки на российские компании в конце марта, обыгрывая тему санкций и уход платежных систем Visa и Mastercard из России.

Вымогательская группировка Conti взяла на себя ответственность за недавнюю кибератаку на гиганта ветряных турбин Nordex. Из-за кибератаки компании пришлось отключить IT-системы компании, а также запретить удаленный доступ к управляемым турбинам. 2 апреля Nordex сообщила, что подверглась кибератаке, которая была обнаружена на раннем этапе. Специалисты компании отключили IT-системы, чтобы предотвратить распространение атаки.

Исследователи в области кибербезопасности обнаружили связь между программой-вымогателем Conti и недавно появившейся вымогательской группировкой Karakurt. Conti — одна из самых плодовитых группировок киберпреступников на сегодняшний день, которая не ослабевает, несмотря на масштабную утечку внутренних разговоров и исходного кода. Karakurt действует по крайней мере с июня 2021 года. Хакеры крадут данные у компаний, а потом принуждают их к выплате выкупа, угрожая опубликовать похищенную информацию. Примерно за два месяца (с сентября по ноябрь 2021 года) жертвами Karakurt стали более 40 организаций.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!