28 Октября 2024 08:11 28 Окт 2024 08:11 |

Поделиться

Новая жадная шифрогруппировка требует с жертв до $60 млн

Размеры выкупа обсуждаются

ФБР и CISA предупреждают о новой шифрогруппировке, отличающейся повышенной жадностью: хакеры BlackSuit потребовали от своих жертв в общей сложности $500 млн. Максимальная сумма отдельно взятого требования составила $60 млн.

«Операторы BlackSuit демонстрируют готовность обсуждать размеры выкупа, – говорится в совместной публикации ФБР и Центра по защите киберпространства США. – В первичных сообщениях, которые атакующие оставляют жертвам, размер выкупа не фигурирует, однако есть требование лично связаться со злоумышленниками через предоставляемый URL в зоне .Onion (доступной через браузер Tor)».

К настоящему времени злоумышленники атаковали несколько критических секторов американской инфраструктуры, в диапазоне от коммерческих фирм и государственных учреждений до медицинских и производственных предприятий.

Оружие кибервымогателя

Основной вредонос BlackSuit представляет собой улучшенный вариант шифровальщика Royal. Первичный доступ в инфраструктуру жертв осуществляется посредством фишинга, эксплуатации уязвимостей в сетевых приложениях, доступных извне, а также уязвимые варианты протокола удаленного управления (RDP). Известно также, что BlackSuit охотно пользуются услугами сторонних «брокеров доступа».

Затем во взломанную инфраструктуру загружаются средства нейтрализации антивируса. Далее важная информация выводится на серверы злоумышленников, и только после этого загружается и активируется шифровальный модуль.

Помимо этого, операторы BlackSuit используют в атаках легитимные инструменты для удаленного мониторинга и управления, инструменты типа SystemBC или GootLoader для обеспечения постоянства присутствия в атакованных системах, SharpShres и SoftPerfect Networx для инвентаризации сетей жертв, и PowerTool и GMER для остановки системных процессов. Отмечены случаи использования средства сбора и кражи паролей Nirsoft и Mimikatz.

За пределами этических норм

Авторы бюллетеня CISA и ФБР отмечают, что операторы BlackSuit активно давят на жертв через телефонные звонки и почтовые сообщения.

Это в целом отвечает общей тенденции на использование все более грязных приемов давления. В недавнем отчете компании Sophos, который цитирует издание The Hacker News, упоминается эпизод, когда вымогатели, атаковавшие больницу, угрожали вызвать полицейский спецназ к домам пациентов онкологического отделения или слали личные угрозы членам семьи руководителя другой атакованной организации.

Кроме того злоумышленники не гнушаются утверждать, что в угнанных ими данных содержатся инкриминирующие жертв сведения, или прямо слать жалобы в регулирующие и правоохранительные органы на действия – или бездействие – их жертв. Например, известен случай, когда вымогатели группировки ALPHV/BlackCat подали жалобу на одну из своих жертв в Федеральную комиссию по биржам и ценным бумагам, утверждая, что атакованная компания нарушила новые требования регулятора, не уведомив того об их атаке в течение четырех суток. Жалоба была подана в ноябре 2023 г., однако новые правила вступали в силу еще только в декабре, так что злоумышленники опередили события.

«В погоне за наживой злоумышленники переходят любые этические границы, говорить о том, что для них что-то может быть недопустимым, не приходится, – говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. – Но переход к «отчаянным мерам» свидетельствует о том, что в целом их «бизнес» – уже далеко не столь прост и бесхлопотен, как прежде: потенциальные жертвы все чаще оказываются подготовлены к атакам и все менее охотно платят выкуп».

Как отмечается в материале The Hacker News, пока что шифровальщики-вымогатели продолжают пытаться осваивать новые методики и новые инструменты. Плодятся и новые семейства шифровальщиков: Lynx, OceanSpy, Radar, Zilla (вариант Crysis/Dharma), Zola (вариант Proton) – это лишь некоторые наименования новых угроз, отмеченных в последнее время.

Роман Георгиев

Поделиться

Короткая ссылка