"Хороша ложка к обеду" - почти как с nCuX'ом
В случае с nCuX'ом явно написано: "сотрудничать надо было до, а не когда мы уже все узнали сами - смысла сотрудничества нет".
"Поначалу россиянин заявлял на судебных слушаниях в США о своей невиновности. Однако перед началом разбирательства с участием жюри присяжных он пошел на сделку со следствием и согласился с некоторыми пунктами обвиненияРешил ( Read more... )
"Поначалу россиянин заявлял на судебных слушаниях в США о своей невиновности. Однако перед началом разбирательства с участием жюри присяжных он пошел на сделку со следствием и согласился с некоторыми пунктами обвиненияРешил ( Read more... )
далее - по тексту
Эксперты Fox-IT рассказали о последней активности известной хакерской группы Evil Corp. По данным аналитиков, группа вернулась к жизни в январе текущего года и провела несколько вредоносных кампаний, а затем и вовсе возобновила активность с новыми инструментами.
В 2016 году группирвока также начала заниматься распространением вымогателей, начиная с шифровальщика Locky. Но по мере того как фокус вымогателей начал смещаться с домашних потребителей на корпоративные цели, Evil Corp тоже адаптировалась к ситуации и создала новую вымогательскую малварь BitPaymer.
BitPaymer активно использовался в период между 2017 и 2019 годами, но потом атаки постепенно стали прекращаться. Причины этого спада до сих пор неясны, но он мог быть связан с тем фактом, что ботнет Dridex тоже «замедлился» в период между 2017 и 2019 годами.
Fox-IT пишет, что это спад активности группы завершился после обвинений Министерства юстиции США, заочно предъявленных членам Evil Corp в декабре 2019 года. После этого хакеры замолчали почти на целый месяц, вплоть до января 2020 года, но затем возобновили активность и провели несколько вредоносных кампаний, в основном для других мошенников.
Весной 2020 года Evil Corp вновь «вернулась к жизни» и на этот раз с новыми инструментами. По данным исследователей, группировка разработала новый вымогатель WastedLocker, чтобы заменить им устаревший BitPaymer, использовавшийся с начала 2017 года.
По мнению исследователей, эта малварь была написана с нуля, и анализ нового вымогателя не выявил практически никаких признаков повторного использования кода и других сходств между BitPaymer и WastedLocker. Некоторые параллели можно заметить лишь в тексте записки с требованием выкупа.
Эксперты Fox-IT отслеживают использование WastedLocker с мая 2020 года. По их данным, пока вымогатель использовался исключительно против американских компаний, а суммы выкупов, которые требует у пострадавших Evil Corp, теперь исчисляются миллионами долларов. К примеру, исследователям известен случай, когда хакеры запросили у компании 10 000 000 долларов США. Опираясь на данные с VirusTotal, аналитики говорят, что WastedLocker применялся по назначению уже как минимум пять раз.
Операторы Evil Corp очень агрессивны при развертывании нового вымогателя WastedLocker: как правило, они атакуют файловые серверы, БД-сервисы, виртуальные машины и облачные среды. Также группировка стремится нарушить работу приложений для резервного копирования и связанной с ними инфраструктуры, то есть всячески затрудняет восстановление информации для пострадавших компаний. Ведь если у компаний нет оффлайновых резервных копий, удаление бэкапов почти наверняка подтолкнет ее к выплате выкупа (если они, конечно, компании по карману новые многомиллионные «тарифы» Evil Corp).
При этом Evil Corp пока не делает того, что сейчас в тренде среди других вымогательских группировок: WastedLocker не умеет похищать данные перед их шифрованием. Напомню, что в настоящее от 10 до 15 хакерских групп заражают сети компаний, крадут конфиденциальные данные, и лишь после этого шифруют файлы, а также угрожают опубликовать похищенные данные в открытом доступе (на своих собственных сайтах или файлообмениках). Подобную тактику используют группировки Maze, Sodinokibi, DopplePaymer, Clop, Sekhmet, Nephilim, Mespinoza, Ako, Netwalker и так далее.
Пока Evil Corp не делает ничего подобного, и специалисты Fox-IT полагают, что это вполне осознанное решение. Дело в том, что «слив» украденных данных обычно привлекает большое внимание СМИ, чего участники Evil Corp, скорее всего, хотели бы избежать, ведь некоторые члены группы и так входят в список самых разыскиваемых ФБР преступников.
source: xakep.ru/2020/06/24/wastedlocker/
Reply
Leave a comment