Поделиться
«Сам себе режиссер»: злоумышленники научились делать собственные модификации программ-вымогателей с помощью готовых решений
Кибергруппы, занимающиеся вымогательством, часто используют собственные разработки программ-вымогателей, в то время как действующие в одиночку злоумышленники (обычно обладающие начальными навыками) часто используют для атак готовые версии шифровальщиков, уже доступные в сети. Многие исходные коды публикуются в открытом доступе или попадают в общий доступ в результате утечек. Эксперты Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского») представили новый отчет, в котором описываются недавние атаки, проведенные с помощью доступных в сети сборок программ-вымогателей. Такое вредоносное ПО позволяет злоумышленникам атаковать жертв без особой подготовки и является серьезной угрозой. Об этом CNews сообщили представители «Лаборатории Касперского».
SEXi. В апреле 2024 г. атаке программы-шифровальщика SEXi подверглась компания IxMetro, которая предоставляет услуги дата-центров и хостинга. Название зловреда и кибергруппы обыгрывало тот факт, что целью злоумышленников были гипервизоры ESXi. Использовались две модификации шифровальщика, созданные на основе утекших образцов вредоносного ПО: версия Babuk была нацелена на устройства на Linux, а версия LockBit — на Windows.
Key Group. Злоумышленники из другой группы — Key Group — используют программы-шифровальщики из восьми разных семейств. Их методы и механизмы закрепления в системе совершенствовались с каждым новым вариантом. Несмотря на разнообразие методов, Key Group известна своими непрофессиональными действиями, включая использование общедоступного репозитория GitHub и мессенджера Telegram для коммуникаций внутри группы и связи с жертвами, что облегчает отслеживание.
Mallox. Группа Mallox использует менее известный вариант шифровальщика, который впервые был замечен в 2021 г. Группа утверждает, что купила исходный код. В 2022 г. эти злоумышленники запустили партнерскую программу, при этом сотрудничают они только с русскоязычными злоумышленниками — англоязычные партнеры их не интересуют. У них есть строгие требования к выбору организаций, которые должны атаковать их партнеры: это компании с прибылью не менее $10 млн, исключая больницы и образовательные учреждения. В 2023 г. у группы было 16 действующих партнеров.
«Хотя кибергруппы, использующие готовый код программ-вымогателей, могут не обладать продвинутыми навыками, их атаки могут быть очень опасны из-за использования партнерских схем и тщательного выбора жертвы. В последнее время программы-вымогатели стали доступнее для злоумышленников. С помощью готовых версий такого ПО и партнерских программ даже начинающие злоумышленники могут представлять серьезную угрозу», — сказала Татьяна Шишкова, ведущий эксперт Kaspersky GReAT.
Чтобы снизить риски, эксперты «Лаборатории Касперского» рекомендуют: использовать комплексное защитное решение для оперативного обнаружения и реагирования на угрозы, в том числе сложные; ограничить привилегии корпоративных пользователей, чтобы предотвратить несанкционированную активацию функционала шифрования, а также изменение ключей реестра; проводить анализ инцидентов для выявления начального вектора атак и предотвращения подобных атак в будущем.
Поделиться
Короткая ссылка
