Крупных выкупов требует новый оператор программ-вымогателей

Крупных выкупов требует новый оператор программ-вымогателей. Фото: СС0

В новом отчете BleepingComputer совместно с компанией AdvIntel, специализирующейся на кибербезопасности, проанализирована деятельность группы, ее шифратор и методология.

Судя по всему, группа состоит из опытных операторов программ-вымогателей, пришедших из других группировок. Они объединились в январе этого года и работают не как RaaS, а как частная группа с филиалами. Сначала группа использовала шифровальщики других преступников, а именно BlackCat, но вскоре переключилась на проприетарные решения. Первый такой шифратор называется Zeon. 

Ранее в этом месяце группа переименовала Zeon в Royal, используя это имя как в записке о выкупе, так и в качестве расширения файла для зашифрованных документов.

В алгоритме атаки нет ничего необычного: злоумышленники сначала рассылают фишинговое письмо и призывают жертв перезвонить. Во время разговора злоумышленники убеждают жертв установить программное обеспечение для удаленного доступа и предоставлять злоумышленникам доступ к конечной точке 

После этого злоумышленники рассредотачивают зловред по сети, сопоставляют и извлекают конфиденциальные данные, а также шифруют все устройства, обнаруженные в сети. 

Жертвы получают записку с требованием выкупа README.TXT, в которой содержится ссылка Tor, по которой они могут вести переговоры со злоумышленниками. 

Предположительно злоумышленники требуют от 250 тыс. до 2 млн $ долларов за ключ дешифрования. В ходе переговоров злоумышленники расшифровывали несколько файлов, чтобы показать, как работает их программа, и показывали список файлов, которые они выложат в Интернет, если требования не будут выполнены. 

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия. 

Статьи по теме 

• Опасный дроппер заражает десятком вредоносных программ одновременно.
• Некоторые старые версии WhatsApp* имеют критическую уязвимость в системе безопасности.
• Microsoft отказывается от паролей для виртуальных рабочих столов Azure.