Вымогатель Faust — незримая киберзападня прямо в вашем Excel

Исследователи в области кибербезопасности обнаружили новый вариант семейства вымогательских программ Phobos, получивший название Faust. Отчёт о последней итерации вируса был опубликован исследователями FortiGuard Labs из компании Fortinet.

Разновидность Faust является последней из ряда вариантов Phobos, включая Eking, Eight, Elbie, Devos и 8Base. В ноябре 2023 года Faust уже был задокументирован Cisco Talos. Сообщается, что этот вирус активен ещё с 2022 года и не нацелен на конкретные отрасли или регионы.

Атака начинается через инфицированный документ Microsoft Excel формата «.XLAM» со встроенным VBA-скриптом. Атакующие использовали сервис Gitea для хранения файлов, закодированных в Base64, каждый из которых содержит вредоносный двоичный файл.

Параллельно незаметно извлекается исполняемый файл, маскирующийся под обновление AVG AntiVirus («AVG updater.exe»). Этот файл, в свою очередь, загружает и запускает другой исполняемый файл «SmartScreen Defender Windows.exe», который начинает процесс шифрования.

Faust способен поддерживать постоянное присутствие в среде и создаёт сразу несколько потоков для эффективного шифрования данных.

Среди других выявленных угроз — новые семейства вымогательского ПО, такие как Albabat (или White Bat) , Kasseika , Kuiper , Mimus и NONAME .

Kuiper, подробно изученный Trellix, приписывают злоумышленнику под псевдонимом «RobinHood», который начал рекламировать вредонос на подпольных форумах в сентябре 2023 года.

NONAME примечателен тем, что его сайт утечки данных имитирует сайт группы LockBit, что может указывать на связь с LockBit или использование их утекших баз данных.

В докладе французской компании Intrinsec отмечается связь между новым вредоносом 3AM и программами-вымогателями Royal/BlackSuit, появившимся вскоре после ликвидации киберпреступного синдиката Conti в мае 2022 года.

Кроме того, исследователи выявили тенденцию, что злоумышленники снова стали использовать TeamViewer для получения начального доступа к целевым средам.

Несмотря на изменчивую природу экосистемы вымогательских программ, наблюдаются признаки того, что жертвы всё чаще отказываются платить выкуп. Доля жертв, согласившихся на выплату, снизилась до 29% в 4-м квартале 2023 года, по сравнению с 41% и 34% в предыдущих кварталах. Средний размер выкупа за этот период так же снизился на 33% — с $850,700 до $568,705.