Один из самых популярных нынче шифровальщиков CryptXXX теперь использует спам-письма для распространения, предупреждают исследователи Proofpoint.
Ранее этот вид вымогателя распространялся, используя только связки эксплоитов. Когда CryptXXX был впервые замечен, он загружался на компьютер пользователя с помощью связки эксплоитов Angler, но вскоре злоумышленники перешли на новый комплект – Neutrino, в то время как Angler исчез из поля зрения. Однако в период с апреля по июнь активность комплектов эксплоитов снизилась на 96% и злоумышленники переключились на другие векторы атак.
На прошлой неделе была замечена первая кампания по распространению CryptXXX через email. Согласно исследователям Proofpoint, письма содержат вложения в виде документов, содержащих вредоносные макросы. При открытии такого документа на компьютер пользователя загружался и устанавливался вымогатель CryptXXX.
По аналогии с другими спам-кампаниями, злоумышленники полагались на социальную инженерию, чтобы заставить пользователей включить макросы во вредоносном документе. В теме письма указывалось «Security Breach - Security Report #123456789», а вложенные документы имели имена «info12.doc» или «i_nf012.doc». Цифры в теме письма и имена вложений генерировались случайным образом.
Исследователи сообщают, что вредоносная кампания получилась некрупной – были отправлены всего несколько тысяч писем. По мнению исследователей, это могло бы быть просто испытанием нового механизма распространения, а это значит, что большие по масштабам кампании могут ждать еще впереди.
Специалисты по безопасности утверждают, что CryptXXX находится в активной разработке. По их мнению, разработка может быть разделена на две ветви, одна их которых уже достигла версии 5.001, а вторая еще не была проанализирована.
В последние месяцы шифровальщик получил несколько нововведений, одним из которых является возможность добавления разных расширений к зашифрованным файлам: .Crypz и .Cryp1. На данный момент, исследователи обнаружили, что пользователи, пострадавшие от этих версий могут получить ключи дешифрования для своих файлов бесплатно.
CryptXXX удалось быстро занять свое место из-за его эффективного механизма распространения. Для специалистов не стало неожиданностью, что злоумышленники пробуют новые векторы. Насколько удачны будут эти векторы нам лишь предстоит увидеть.
Группа компаний «Солар» анонсировала выпуск CyberMir версии 7.0. Платформа для киберучений теперь работает на движке Solar Quest, позволяющем проводить квизы, квесты, командно-штабные тренинги и соревнования Jeopardy.
Привнесение в учения логики приключенческих компьютерных игр, по мнению вендора, увеличивает вариативность сценариев и повышает точность оценки действий испытуемых.
Курс развития CyberMir на геймификацию киберучений в «Солар» считают долгосрочным трендом, способным сократить время и расходы на организацию проверок практических навыков специалистов Blue Team.
«На новом этапе развития платформы мы поддержали запрос рынка на форматы непрерывного обучения, которые повышают вовлеченность и экономят рабочее время сотрудников», — заявил Сергей Кулаков, технический директор департамента «Киберполигон» ГК «Солар».
Функциональность SolarQuest будет расширяться. Запланированы интеграция движка с ВМ и цифровыми двойниками реальных инфраструктур, внедрение командного режима реализации сценариев, с поэтапной передачей заданий участникам в соответствии с их ролями и на основании принятых решений.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
