Ресерчеры из российской F.A.C.C.T. расчехлили предупреждают об | S.E.Reborn

Ресерчеры из российской F.A.C.C.T. расчехлили предупреждают об активизации в России LokiLocker и BlackBit.

Начиная с апреля 2022 года "близнецы-вымогатели" атаковали не менее 62 компаний по всему миру, из них 21 жертва находилась в России.

В основном, это компании малого и среднего бизнеса из сферы строительства, туризма, розничной торговли.

Вымогатели требуют выкуп от $10 000 до $100 000 (от 800 тысяч рублей до 8 млн рублей), за расшифровку данных, но при этом не похищают информацию и не выкладывают их на DLS для дальнейшего шантажа.

В качестве канала коммуникации с жертвами хакеры используют электронную почту и Telegram.

По истечении 30-дневного срока все данные в скомпрометированной системе уничтожаются, если не будет выплачен выкуп.

В российском сегменте наряду с LokiLocker злоумышленники использовали другой схожий шифровальщик под брендом BlackBit, который по своему функционалу практически идентичен первому.

В среднем продолжительность атак LokiLocker и BlackBit составляет от суток до нескольких дней.

В качестве первоначального вектора используются скомпрометированные службы удаленного доступа и, прежде всего, публично доступный терминальный сервер — RDP.

Для получения доступа к RDP-серверу атакующие используют брут или обращаются к брокерам первоначального доступа.

Получив первоначальный доступ, атакующие стремятся закрепиться в сети и получить привилегированные учетные данные — для  этого они используют Mimikatz.

«Залив» программы-вымогателя в ИТ-инфраструктуру жертвы на Windows-системы проводится атакующими преимущественно вручную, обычно в выходной или праздничный день.

Примечательно, что ransomware избегает шифрования на компьютерах, где выбран персидский в качестве основного языка интерфейса.

Однако вопрос об атрибуции злоумышленников к конкретной стране, до сих пор остается открытым.

Некоторые исследователи убеждены, что атаки LokiLocker и BlackBit намеренно проводятся «под чужим флагом» для того, чтобы затруднить работу исследователям.

В свою очередь, исследователи F.A.C.C.T. не исключают, что состав группы может быть интернациональным, несмотря на то, что партнерская программа и первые версии программы-вымогателя изначально были созданы носителями персидского языка.