США предлагают $10 млн за информацию об операторах шифровальщика DarkSide

США предлагают $10 млн за информацию об операторах шифровальщика DarkSide

США предлагают $10 млн за информацию об операторах шифровальщика DarkSide

Власти США пытаются во что бы то ни стало добраться до операторов программы-вымогателя DarkSide и её преемников. За информацию, ведущую к идентификации и задержанию киберпреступников, Вашингтон предлагает вознаграждение в размере 10 миллионов долларов.

С соответствующим заявлением выступил Государственный департамент США. Также американские власти предлагают 5 миллионов долларов за сведения, которые приведут к аресту любого человека, принимавшего участие или пытавшегося участвовать в атаках DarkSide.

Любой гражданин, располагающий необходимой информацией, может отправить её представителям ФБР по ссылке https://tips.fbi.gov. Также предусмотрена передача сведений через мессенджеры WhatsApps, Telegram и Signal.

 

Программа вознаграждения распространяется и на одно из последних воплощений DarkSide — BlackMatter. Напомним, что киберпреступники переименовали свои операции после атаки на Colonial Pipeline. Недавно стало известно, что BlackMatter выходят из игры из-за давления со стороны правоохранителей.

Другой ребрендинг известных группировок, распространяющих шифровальщики, включает следующие имена:

  • GandCrab => REvil
  • Maze => Egregor
  • Bitpaymer => DoppelPaymer => Grief
  • Nemty => Nefilim => Karma
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Российские предприятия атакованы под видом ВОЕНМЕХа — F6 винит FakeTicketer

Специалисты из департамента Threat Intelligence компании F6 обнаружили ряд признаков, указывающих на связь между кибершпионской кампанией HollowQuill и известной киберпреступной группировкой FakeTicketer.

По данным F6, атаки были направлены на российские промышленные предприятия. Хакеры использовали документ, который выглядел как официальное письмо от имени Балтийского государственного технического университета «ВОЕНМЕХ».

Однако еще в конце 2024 года активность, связанную с этой кампанией, заметили эксперты из Positive Technologies. Теперь же специалисты F6 провели дополнительное расследование и обнаружили пересечения с операциями группы FakeTicketer.

та группа, предположительно занимающаяся кибершпионажем, действует как минимум с июня 2024 года. Среди её целей — промышленные компании, госучреждения и даже спортивные чиновники.

Анализ вредоносной программы и используемой инфраструктуры показал, что в HollowQuill и у FakeTicketer используются схожие дропперы и похожие доменные имена. В частности, эксперты нашли совпадения с вредоносом Zagrebator.Dropper, который связывают с FakeTicketer:

  • Оба дроппера — LazyOneLoader и Zagrebator.Dropper — написаны на C#.
  • У них одинаковые названия иконок («faylyk»).
  • И файлы, и иконки хранятся в ресурсах программы; дропперы извлекают эти данные и записывают их с помощью одного и того же класса — BinaryWrite.
  • Код, создающий ярлыки, почти не отличается.
  • Используются файлы с названиями OneDrive*.exe и OneDrive*.lnk для маскировки активности.

Кроме того, в F6 заметили, что FakeTicketer раньше регистрировали ряд доменов с одинаковыми данными владельца. Один из таких доменов — phpsymfony[.]info. При этом в HollowQuill фигурировал домен phpsymfony[.]com — он использовался как C2-сервер для Cobalt Strike.

По мнению исследователей, эти совпадения позволяют предположить, что за кампанией HollowQuill, скорее всего, стоит группа FakeTicketer — хотя и с оговоркой, что уверенность в этом пока средняя.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru