Ресерчеры из российской F.A.C.C.T. расчехлили предупреждают об | S.E.Reborn
Ресерчеры из российской F.A.C.C.T. расчехлили предупреждают об активизации в России LokiLocker и BlackBit.
Начиная с апреля 2022 года "близнецы-вымогатели" атаковали не менее 62 компаний по всему миру, из них 21 жертва находилась в России.
В основном, это компании малого и среднего бизнеса из сферы строительства, туризма, розничной торговли.
Вымогатели требуют выкуп от $10 000 до $100 000 (от 800 тысяч рублей до 8 млн рублей), за расшифровку данных, но при этом не похищают информацию и не выкладывают их на DLS для дальнейшего шантажа.
В качестве канала коммуникации с жертвами хакеры используют электронную почту и Telegram.
По истечении 30-дневного срока все данные в скомпрометированной системе уничтожаются, если не будет выплачен выкуп.
В российском сегменте наряду с LokiLocker злоумышленники использовали другой схожий шифровальщик под брендом BlackBit, который по своему функционалу практически идентичен первому.
В среднем продолжительность атак LokiLocker и BlackBit составляет от суток до нескольких дней.
В качестве первоначального вектора используются скомпрометированные службы удаленного доступа и, прежде всего, публично доступный терминальный сервер — RDP.
Для получения доступа к RDP-серверу атакующие используют брут или обращаются к брокерам первоначального доступа.
Получив первоначальный доступ, атакующие стремятся закрепиться в сети и получить привилегированные учетные данные — для этого они используют Mimikatz.
«Залив» программы-вымогателя в ИТ-инфраструктуру жертвы на Windows-системы проводится атакующими преимущественно вручную, обычно в выходной или праздничный день.
Примечательно, что ransomware избегает шифрования на компьютерах, где выбран персидский в качестве основного языка интерфейса.
Однако вопрос об атрибуции злоумышленников к конкретной стране, до сих пор остается открытым.
Некоторые исследователи убеждены, что атаки LokiLocker и BlackBit намеренно проводятся «под чужим флагом» для того, чтобы затруднить работу исследователям.
В свою очередь, исследователи F.A.C.C.T. не исключают, что состав группы может быть интернациональным, несмотря на то, что партнерская программа и первые версии программы-вымогателя изначально были созданы носителями персидского языка.