LokiLocker и BlackBit атакуют российский МСБ, обходят персидский интерфейс

LokiLocker и BlackBit атакуют российский МСБ, обходят персидский интерфейс

LokiLocker и BlackBit атакуют российский МСБ, обходят персидский интерфейс

Эксперты предупреждают об активизации в России программ-вымогателей LokiLocker и BlackBit. Треть всех жертв находятся в России. Вымогатели требуют до $100 тыс. за расшифровку. При этом быстро сворачиваются, если обнаруживают на компьютере персидский язык как основной.

Первые атаки программ-вымогателей из семейства LokiLocker зафиксировали весной 2022 года на Ближнем Востоке, хотя сам шифровальщик появился еще летом 2021 года. LokiLocker распространяется по партнерской программе RaaS (Ransomware-as-a-Service, “вымогательство как услуга”). Инциденты замечены уже по всему миру.

К атакам именно на российский бизнес злоумышленники подключали еще и новый “родственный” шифровальщик под брендом BlackBit, говорится в отчете экспертов цифровой криминалистики компании F.A.C.C.T. По своей функциональности он практически идентичен LokiLocker, основное отличие в нейминге: для зашифрованных файлов используется расширение .BlackBit.

Хакеры, взявшие на вооружение LokiLocker и BlackBit, не похищают у своих жертв данные и не выкладывают их на Data Leak Site (DLS) для дальнейшего шантажа. Но криминалисты F.A.C.C.T. изучили отчеты реагирования на инциденты и сторонние источники и выяснили, кого именно атакуют вымогатели.

Российский вектор в атаках LokiLocker и BlackBit прослеживается с весны 2022 года. Известно о 21 пострадавшей компании, а это — треть жертв по всему миру. Речь идет о малом и среднем бизнесе из сферы строительства, туризма и розничной торговли.

Начальная сумма выкупа колеблется от $10 тыс. до $100 тыс. (до 8 млн рублей). Финальный размер зависит от платежеспособности компании и количества ключей расшифровки, которые выкупает жертва. Для каждого зашифрованного хоста требуется свой оригинальный декриптор.

Эксперты обратили внимание на одну особенность — перед запуском вымогатель проверяет язык ввода. Если вредоносная программа находит на компьютере установленный персидский язык (Persian), то завершает работу.

Однако вопрос об атрибуции злоумышленников к конкретной стране до сих открыт. Некоторые исследователи убеждены, что атаки LokiLocker и BlackBit намеренно проводятся “под чужим флагом”, чтобы затруднить работу исследователям. Криминалисты F.A.C.C.T. не исключают интернациональный состав группы, хотя сама партнерская программа и первые версии программы-вымогателя изначально были созданы носителями именно персидского языка.

В среднем атака LokiLocker и BlackBit длится от суток до нескольких дней. Сначала злоумышленники используют скомпрометированные службы удаленного доступа (T1133) и, прежде всего, публично доступный терминальный сервер — RDP (Remote Desktop Protocol).

Для получения доступа к RDP-серверу атакующие могут применять как метод подбора пары “логин/пароль” (T1110), так и их покупку на даркнет-ресурсах у брокеров первоначального доступа.

Проникнув внутрь системы, взломщики стремятся закрепиться в сети и получить привилегированные учетные данные — для этого они используют популярную легитимную утилиту Mimikatz (T1003). В процессе разведки для оценки платежеспособности жертвы злоумышленники могут изучать на хостах файлы и документы, но не похищают их.

“Залив” программы-вымогателя в ИТ-инфраструктуру жертвы на Windows-системы проводится атакующими обычно вручную, почти всегда в выходной или праздничный день. Вымогатели стараются отключить антивирусные средства, используя легитимные утилиты (T1562.001).

Общаются киберпреступники с жертвами по электронной почте и Telegram. Если выкуп не приходит через месяц, а декрипторы не подключены, программа-вымогатель уничтожает все данные в скомпрометированной системе.

“В период геополитической напряженности российский бизнес все чаще подвергается кибератакам, среди которых в последнее время заметную роль стали играть программы вымогатели, ранее встречавшиеся в РФ крайне редко, например, тот же LokiLocker”, — замечает генеральный директор компании F.A.С.С.T. Валерий Баулин.

Несмотря на то, что партнеры LokiLocker и BlackBit не демонстрируют в своих атаках особо изощренных или инновационных методов, а сами программы-вымогатели хорошо известны многим средствам защиты, это не спасает жертв от шифрования данных. Успех атак во многом объясняется легкомысленным отношением бизнеса к защищенности своих внешних сервисов удаленного доступа, заключает эксперт.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В рунете оживились мошенники, продающие водительские права и военбилеты

Эксперты F.A.C.C.T. фиксируют активизацию мошенников, предлагающих услуги по оформлению документов. Судя по публикациям в Telegram, число объявлений о продаже водительских удостоверений за квартал возросло в 2 раза, военных билетов — более чем в 6 раз.

За водительские права просят от 22 тыс. до 90 тыс. руб. (в зависимости от категории), за военный билет с отметкой «не годен к военной службе» — в среднем 110 тыс. рублей. В обоих случаях покупатель теряет деньги и персональные данные, ничего не получая взамен.

Схема развода в целом одна и та же. Продавец уверяет, что фальсификацией он не занимается, документ настоящий и будет официально зарегистрирован (права внесут в базу данных ГИБДД, военбилет — в единый реестр воинского учёта). У покупателя просят предоплату в размере 40-50% и указывают реквизиты для перевода.

Получив деньги, аферист просит предоставить информацию для оформления документа: паспортные данные, фото подписи на белом фоне, сканы страниц паспорта, ИНН, медсправку, которую, впрочем, водитель может здесь же приобрести за дополнительные 5 тыс. рублей.

Полученные данные пересылаются сообщнику-отрисовщику (специалисту по обработке цифровых изображений). Тот создает картинку документа, которая затем высылается жертве в качестве доказательства выполнения заказа.

Далее ей предлагают выбрать способ доставки и требуют полной оплаты, пообещав добавить данные документа в базу. Получив и этот перевод, мошенники перестают выходить на связь.

В IV квартале также получила распространение схема отъема денег с блокировкой телефона жертвы через iCloud. Сценариев при этом множество. Мошенник, например, может обратиться к намеченной жертве через сайт знакомств и от имени привлекательной девушки посетовать, что iPhone вышел из строя.

Теперь придется как-то восстанавливать черновик курсовой, важные документы и т. п.; если собеседник предложит помощь, ему пришлют учетные данные iCloud. После входа телефон жертвы блокируется через настройки, и с нее потребуют деньги за разблокировку (уже другой персонаж).

 

Чтобы заманить владельца iPhone в ловушку, злоумышленники могут использовать другой предлог — оказание помощи в установке приложений, удаленных из AppStore.

По данным F.A.C.C.T., подобного рода мошенничеством, а также продажей поддельных документов, которые так и не доходят до заказчиков, в России занимаются как минимум три криминальных группировки. Одна из них работает с середины сентября и уже успела обмануть более 170 пользователей, суммарно украв у них почти 5,5 млн рублей.

«За любым предложением о покупке документов скрывается множество опасностей, — предупреждает Мария Синицына, старший аналитик в F.A.C.C.T. Digital Risk Protection. — Самая очевидная — угроза уголовной ответственности за приобретение поддельных документов. Вторая — потеря денег. С ней напрямую связана третья опасность: жертва, которую обманули один раз, остаётся на крючке преступников, ведь они получают важные персональные данные человека: его ФИО, номер телефона, сканы паспорта и других документов, которые могут быть использованы для других мошеннических схем».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru