Новая версия вредоносного ПО под Linux атаковала южно-азиатские страны
Неизвестное ранее вредоносное ПО, созданное специально для атак на ОС Linux, атаковало множество организаций в Юго-восточной Азии. Угроза идентифицирует сама себя как FontOnLake или HCRootkit.
FontOnLake — это модульный руткит, который, судя по всему, находится в стадии активной разработки. Он включает в себя инструменты для организации удаленного доступа, кражи учетных данных, а также организации proxy-сервера.
Атаки с использоанием FontOnLake выглядят как целенаправленные. Судя по всему, они были разработаны для сбора данных, а остальные вредоносные активности остаются скорее как прикрытие. Что показательно, вредоносному ПО удалось обойти обнаружение многими традиционными антивирусными системами из-за своей новизны. А чтобы закрепиться в системе FontOnLake заменяет легитимные бинарники модифицированными версиями и остаеются на машинах жертв надолго.
Самое удивительное, что новый руткит, оказывается, находится в активной фазе использования с мая 2020 года, но только осенью 2021 был впервые обнаружен многоуровневыми системами защиты для Linux. Сегодня такие используют немногие пользователи подобных систем. И, как показывает практика, совершенно напрасно.
Pacific City Bank не только пострадал от Ransomware, но и потерял важные данные
В прошлом мы уже насказывали о том, что на Pacific City Bank была совершена атака. Теперь же кредитная организация раскрыла подробности кибершантажа.
Pacific City Bank — третий по размерам банк, обслуживающий корейско-американское сообщество. Предполагаемый годовой доход кредитной организации составляет порядка $67,2 миллионов, что делает его действительно крупной целью для киберпреступников. И теперь, отчитываясь об атаке, представители банка сообщили, что при нападении были украдены конфиденциальные документы, относящиеся к сотрудникам и клиентам. В их числе — формы W-2, записи о выплатах, имена, адреса, номера социального страхования и многое другое.
Во время первого сообщения об атаке на банк, мы предполагали, что это дело рук группировки AvosLocker. И, судя по всему, так оно и есть. Теперь хакеры берут на себя ответственность за произошедшее на собственном сайте утечек. А предоставленная ими информация совпадает с последними сообщениями Pacific City Bank.
Повторимся еще раз: защита от подобных новых видов программ-шифровальщиков обычно достигается только при использовании бихевиористических средств защиты, которые блокируют вредоносную активность. А для максимально быстрого возвращения к работе лучше всего также автоматизировать резервное копирование и аварийное восстановление. В таком случае пользователь может даже не заметить, что какие-то файлы были повреждены на первых этапах атаки.
Новые партнеры Trickbot — новые атаки на пользователей
Создатели печально известного TrickBot сообщили о привлечении двух новых компаньонов, что является предвестником новых атак с использованием этого Ransomware в ближайшем будущем. А учитывая, что по оценкам Microsoft TrickBot уже заразил более 3 миллионов устройств с Windows, данное вредоносное ПО действительно становится популярным.
Новые партнеры TrickBot — группировки Shathak и Hive0107. Они обе были известны по масштабным фишинговым кампаниям. А учитывая, что команда создателей TrickBot также несет ответственность за распространение программы-вымогателя Conti, вероятно в ближайшее время мы также увидим рост количества заражений Conti (которых, к слову, и так не мало).
Расширение деятельности киберпреступников обычно происходит двумя путями — они либо улучшают харакретистики своего вредоносного ПО, либо находят новых партнеров, чтобы увеличить охват атак. При этом, согласно статистическим данным, вредоносное ПО чаще всего попадает на компьютеры жертв по email. Да и специализация Shathak и Hive0107 не оставляет сомнений в том, что мастера фишинга первым делом будут рассылать умело подготовленные письма, но теперь с Trickbot’ом. Так что усиливайте защиту корпоративной почты, господа и дамы!
Ведущая бразильская cтраховая компания атакована Ransomware
Одна из крупнейших страховых компаний бразилии, Porto Seguro, стала жертвой атаки Ransomware. По законам страны компания отчиталась о деталях атаки в Комиссию по ценным бумагам, но публичного оглашения подробностей не произошло. По заявлениям представителей Porto Seguro, утечек данных во время инцидента не произошло. Однако стремление современных группировок комбинировать ransomware и infostealer’ы заставляет скептически смотреть на подобную уверенность. Впрочем, время покажет, не всплывут ли данные компании в открытом доступе.
Тем временем стоит обратить внимание на то, что клиентами компании являются более 10 миллионов человек, в штате организации работает порядка 13 000 сотрудников, а годовой доход ожидается на уровне $5,1 миллиарда. Таким образом, нападение на Porto Seguro — бесспорно выгодная и хорошо спланированная акция. Компания уже пострадала от остановки работы ряда систем, но при этом отсутствие надежных средств киберзащиты для бразильского бизнеса (и для организаций во многих других странах) остается нормой. В этом случае невозможно не то, что гарантировать работоспособность, но и точно сказать, украли у вас какие-то данные или нет.
Создатели ботнета MyKings зарабатывают миллионы на криптоджекинге и подмене адресов криптокошельков
Ботнет MyKings продолжает свою активную работу уже более пяти лет и не собирается уступать своим жертвам. Новое исследование показало, что эта сеть оказывается очень даже загруженной в последнее время. В частности, многие зараженные ботнетом компьютеры ведут активный майнинг или крадут криптовалюты при помощи одной из двух техник.
Первый вариант поведения ботнета подразумевает установку криптомайнера в зараженной системе и фоновую добычу различных криптовалют, пока пользователь не замечает падения производительности. Другой вариант — использование фирменного трояна, который перехватывает данные из буфера обмена. Он определяет, когда вы вставляете в буфер обмена адрес какого-либо криптокошелька и заменяет его на кошелек атакующего.
Стоимость MyKings на данный момент составляет как минимум $24,7 миллионов. А согласно отчетам специалистов по киберзащите от 2017 года, этот ботнет получал порядка $2,3 миллионов в Monero каждый месяц, эксплуатируя сеть из более чем 500 000 зараженных компьютеров.
Бороться с такой угрозой можно (и нужно) двумя способами. Во-первых, нужны средства активной защиты ПК, который блокируют подмену содержимого буфера обмена. А во-вторых, противодействовать криптомайнерам способны любые системы кибербезопасности с модулями бихевиористического анализа.
Ransomware остановило производственные процессы кондитерского гиганта
Атака на одного из лидеров кондитерского рынка, которого многие дети знают по сладостям Nerds, Laffy Taffy, SweetTarts и другим, позволила глубоко внедрить Ransomware в процессы компании и даже остановить работу ряда критически важных систем. Атака началась еще в октябре, и пострадал ряд производственных подразделений.
Надо сказать, что компания Ferrera достаточно быстро восстановилась, но менеджерам пришлось организовывать усиленную обработку ряда отложенных заказов. Впрочем, представители фирмы заявили, что это никак не повлияет на конечных клиентов. Были ли реальные основания для таких слов или все дело в маркетинге, мы узнаем очень скоро. И если в ваших новогодних подарках будет не хватать конфет Ferrera, возможно, все дело в киберпреступниках.
Компания не сообщила открыто, какими были требования к выкупу, и стал ли менеджмент принимать решение об оплате. К тому же никто так и не знает, какая группировка отвечает за “сладкую атаку”. Однако тут следует отметить, что тактика преступников становится все более продуманной — атаки Ransomware все чаще происходят именно в тот момент, когда у компании сезон и надо выполнять заказы. В это время вполне вероятно, что руководство заплатить выкуп. Так что лучше готовиться к таким ситуациям заранее. Ведь многие решения на рынке позволяют обнаруживать даже неизвестные ранее версии Ransomware, а наиболее продвинутые — даже сразу восстанавливать файлы в случае их повреждения.
Gigabyte пострадала уже от второй атаки Ransomware за три месяца
Тайваньский производитель микроэлектроники Gigabyte, известный своими материнскими платами и видеокартами, стал жертвой Ransomware AvosLocker. И за последние три месяца это уже второй такой инцидент для компании.
Группировка AvosLocker опубликовала 15 мегабайт украденной информации, чтобы подтвердить успешность взлома. В слитых файлах обнаружились логины и пароли, подробности начисления зарплат сотрудникам, сканы паспортов, подписанные NDA с заказчиками и прочая информация. Ранее, в августе 2021 года другая группировка Ransomware под названием RansomExx, уже проникала в сети Gigabyte и украла 112 Гигабайт информации.
Тут можно задаться вопросом: неужели Gigabyte не позаботилась, чтобы защитить себя от очередной подобной атаки? Возможно, менеджеры и начали активную работу, но обеспечение компании надежными средствами кибербезопасности требует серьезных ресурсов и немало времени. Поэтому защитить крупную организацию в короткий срок оказывается проблематично. К тому же нужно всегда держать руку на пульсе — ведь каждая новая уязвимость или брешь прикладного ПО может стать открытой дверь для очередного Ransomware.
ФБР предупреждает об опасном Ransomware Ranzy Locker
В прошлом месяце ФБР выпустила предупреждение об активности группировки Ransomware под названием Ranzy Locker. В прошлом году преступники провели ребрендинг — раньше они назывались Ako и ThunderX.
В уведомлении “TLP: WHITE FLASH” от ФБР было сказано, что Ranzy Locker несет ответственность за успешную компрометацию как минимум 30 компаний в США, причем сразу в нескольких отраслях. Представители федерального агентства не назвали имен конкретных компаний, но отметили что они относятся к строительству, производству, академической среде, информационным технологиям и транспортной отрасли.
Ranzy Locker использует комбинацию алгоритмов “brute force” для подбора реквизитов доступа к RDP, а также эксплойты Microsoft Exchange, чтобы получить доступ к инфраструктуре жертв и чувствительной информации. Группировка крадет важные документы перед тем как зашифровать их на системах жертв, а также угрожает опубликовать чувствительные данные, если пострадавшие откажутся платить.
Впрочем, несмотря на ребрендинг, компоненты этого ПО продолжают детектироваться стандартными методами. Мы специально провели проверку на продуктах Acronis и обнаружили, что при наличии защиты эта версия Ransomware не успевает совершить и пары действий в системе. А это говорит о том, что многие компании в разных отраслях по-прежнему игнорируют потребность в защите от современных угроз и поэтому становятся жертвами Ransomware.