Главной новостью прошлой недели стало сообщение о доходах операторов вымогателей Maze и Egregor, заработавших на выкупах не менее $75 млн в биткойнах.
Прошедшая неделя ознаменовалась рядом интересных сообщений об инцидентах, связанных с вымогательским ПО. Например, операторы программы-вымогателя Cring атаковали на два производственных предприятия, принадлежащих европейскому производителю. Преступники загрузили новую версию вымогательского ПО Cring и зашифровали серверы, контролирующие производственные процессы. Операторы вымогателя перехватили контроль над сетями предприятий, используя уязвимость ( CVE-2018-13379 ) в серверах Fortinet Fortigate VPN. Уязвимость обхода каталогов позволяет неавторизованным злоумышленникам получить файл сеанса, содержащий логин и пароль открытым текстом для VPN.
IT-системы Национального колледжа Ирландии (NCI) и Дублинского технологического университета стали жертвами атак вымогательского ПО. Доступ к IT-системам NCI был приостановлен, а здание кампуса было закрыто как для студентов, так и для персонала до восстановления работы систем.
Исследователь безопасности, использующий псевдоним dnwls0719, обнаружил программу-вымогатель Jormungand, которая добавляет расширение .glock к зашифрованным файлам. Эксперт также выявил новые варианты программы-вымогателя VHD, добавляющие расширение .beaf и .gehenna к зашифрованным файлам.
Разработанный дешифратор программы-вымогателя Avaddon демонстрирует, как злоумышленники стараются поддерживать Windows XP для получения выгоды. Если организация использует Windows XP и атака программы-вымогателя шифрует устройство, злоумышленники приходится поддерживать операционную систему, если они хотят получить выкуп. Visual Studio 2019 больше не может компилироваться для Windows XP. Преступникам необходимо использовать Visual Studio 2017 и старый компилятор XP. В связи с этим злоумышленники компилируют свой обычный дешифратор в новой версии Visual Studio, используя старую версию VC ++ для поддержки дешифратора Windows XP. Об этом сообщило издание Bleeping Computer.
Недавние изменения в вымогательском ПО REvil теперь позволяют ему автоматизировать процесс шифрования файлов в безопасном режиме после смены пароля Windows. Как в прошлом месяце сообщал SecurityLab, вымогательское ПО REvil/Sodinokibi получило новую функцию шифрования файлов в безопасном режиме Windows (Windows Safe Mode). Windows Safe Mode можно включить с помощью аргумента командной строки -smode, перезагружающего устройство в безопасном режиме, после чего начинается шифрование файлов.
Исследователь безопасности, использующий псевдоним S!Ri, обнаружил новую программу-вымогатель под названием Wintenzz Security Tool, которая добавляет расширение .wintenzz к зашифрованным файлам и отправляет записку о выкупе с именем BUY_WINTENZZ.txt.
Исследователь безопасности Майкл Гиллеспи (Michael Gillespie) обнаружил новый вариант вымогателя STOP, который добавляет расширение .lmas к зашифрованным файлам.
Киберпреступная группировка, ответственная за операции программ-вымогателей Maze и Egregor, заработала на выкупах не менее $75 млн в биткойнах в результате атак на компании по всему миру. Maze и Egregor заняли второе и третье место по активности RaaS-сервисов на рынке, указав на своих сайтах утечек данных около четверти всех жертв вымогателей.
Исследователь безопасности, использующий псевдоним GrujaRS, обнаружил новую программу-вымогатель под названием RIP_lmao, которая добавляет расширение .crypted и отправляет записку с требованием выкупа ___ RECOVER__FILES __. Crypted.txt.
Ведущая французская фармацевтическая компания Pierre Fabre подверглась кибератаке с использованием вымогателя REvil. В результате инцидента производство на ее предприятиях было частично приостановлено. Злоумышленники потребовали выкуп в размере $25 млн.