LokiLocker и BlackBit атакуют российский МСБ, обходят персидский интерфейс

LokiLocker и BlackBit атакуют российский МСБ, обходят персидский интерфейс

LokiLocker и BlackBit атакуют российский МСБ, обходят персидский интерфейс

Эксперты предупреждают об активизации в России программ-вымогателей LokiLocker и BlackBit. Треть всех жертв находятся в России. Вымогатели требуют до $100 тыс. за расшифровку. При этом быстро сворачиваются, если обнаруживают на компьютере персидский язык как основной.

Первые атаки программ-вымогателей из семейства LokiLocker зафиксировали весной 2022 года на Ближнем Востоке, хотя сам шифровальщик появился еще летом 2021 года. LokiLocker распространяется по партнерской программе RaaS (Ransomware-as-a-Service, “вымогательство как услуга”). Инциденты замечены уже по всему миру.

К атакам именно на российский бизнес злоумышленники подключали еще и новый “родственный” шифровальщик под брендом BlackBit, говорится в отчете экспертов цифровой криминалистики компании F.A.C.C.T. По своей функциональности он практически идентичен LokiLocker, основное отличие в нейминге: для зашифрованных файлов используется расширение .BlackBit.

Хакеры, взявшие на вооружение LokiLocker и BlackBit, не похищают у своих жертв данные и не выкладывают их на Data Leak Site (DLS) для дальнейшего шантажа. Но криминалисты F.A.C.C.T. изучили отчеты реагирования на инциденты и сторонние источники и выяснили, кого именно атакуют вымогатели.

Российский вектор в атаках LokiLocker и BlackBit прослеживается с весны 2022 года. Известно о 21 пострадавшей компании, а это — треть жертв по всему миру. Речь идет о малом и среднем бизнесе из сферы строительства, туризма и розничной торговли.

Начальная сумма выкупа колеблется от $10 тыс. до $100 тыс. (до 8 млн рублей). Финальный размер зависит от платежеспособности компании и количества ключей расшифровки, которые выкупает жертва. Для каждого зашифрованного хоста требуется свой оригинальный декриптор.

Эксперты обратили внимание на одну особенность — перед запуском вымогатель проверяет язык ввода. Если вредоносная программа находит на компьютере установленный персидский язык (Persian), то завершает работу.

Однако вопрос об атрибуции злоумышленников к конкретной стране до сих открыт. Некоторые исследователи убеждены, что атаки LokiLocker и BlackBit намеренно проводятся “под чужим флагом”, чтобы затруднить работу исследователям. Криминалисты F.A.C.C.T. не исключают интернациональный состав группы, хотя сама партнерская программа и первые версии программы-вымогателя изначально были созданы носителями именно персидского языка.

В среднем атака LokiLocker и BlackBit длится от суток до нескольких дней. Сначала злоумышленники используют скомпрометированные службы удаленного доступа (T1133) и, прежде всего, публично доступный терминальный сервер — RDP (Remote Desktop Protocol).

Для получения доступа к RDP-серверу атакующие могут применять как метод подбора пары “логин/пароль” (T1110), так и их покупку на даркнет-ресурсах у брокеров первоначального доступа.

Проникнув внутрь системы, взломщики стремятся закрепиться в сети и получить привилегированные учетные данные — для этого они используют популярную легитимную утилиту Mimikatz (T1003). В процессе разведки для оценки платежеспособности жертвы злоумышленники могут изучать на хостах файлы и документы, но не похищают их.

“Залив” программы-вымогателя в ИТ-инфраструктуру жертвы на Windows-системы проводится атакующими обычно вручную, почти всегда в выходной или праздничный день. Вымогатели стараются отключить антивирусные средства, используя легитимные утилиты (T1562.001).

Общаются киберпреступники с жертвами по электронной почте и Telegram. Если выкуп не приходит через месяц, а декрипторы не подключены, программа-вымогатель уничтожает все данные в скомпрометированной системе.

“В период геополитической напряженности российский бизнес все чаще подвергается кибератакам, среди которых в последнее время заметную роль стали играть программы вымогатели, ранее встречавшиеся в РФ крайне редко, например, тот же LokiLocker”, — замечает генеральный директор компании F.A.С.С.T. Валерий Баулин.

Несмотря на то, что партнеры LokiLocker и BlackBit не демонстрируют в своих атаках особо изощренных или инновационных методов, а сами программы-вымогатели хорошо известны многим средствам защиты, это не спасает жертв от шифрования данных. Успех атак во многом объясняется легкомысленным отношением бизнеса к защищенности своих внешних сервисов удаленного доступа, заключает эксперт.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Сюй Чжицзюн поставил цель разработать 100 тысяч приложений для HarmonyOS

Председатель правления Huawei Сюй Чжицзюн на конференции компании, которая прошла в минувшую субботу, заявил, что целью на ближайший год является разработка 100 тысяч приложений для ОС Harmony.

Как отметил Сюй Чжицзюн, 100 тысяч приложений позволят создать зрелую экосистему для потребителей, которая включала бы не только то ПО, которое смогло бы удовлетворять базовые цифровые нужды, но и содержала бы персонализированные и эксклюзивные приложения.

Топ-менеджер призвал достичь данного уровня за ближайшие 6-12 месяцев.

В Reuters связывают ускорение темпов разработки ПО для Harmony с результатами президентских выборов в США. Вновь избранный президент Дональд Трамп настроен на обострение отношений с Китаем, о чем свидетельствует опыт его прошлого президентского срока.

Сам выпуск Harmony в 2019 году был вызван тем, что против Huawei тогдашние американские власти ввели жесткие санкции, которые в том числе привели к тому, что Huawei была отрезана от экосистемы Google.

Сюй Чжицзюн призвал государственные учреждения всех уровней, учреждения общественного сектора (образование, здравоохранение, социальной сферы) шире применять устройства на базе Harmony в повседневной работе.

Он признал, что в системе есть недоработки, но чем больше будет пользовательская база, тем быстрее эти недостатки будут устранены.

В настоящее время для данной операционной системы существует около 15 тысяч приложений. Разработка идет довольно быстрыми темпами: по данным издания Computer Base, изначально предполагалось к концу 2024 года довести количество приложений до 10 тысяч.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru