2023-05-19 19:33:47
Ресерчеры из российской
F.A.C.C.T. расчехлили предупреждают об активизации в России
LokiLocker и BlackBit.
Начиная с апреля 2022 года "близнецы-вымогатели" атаковали не менее 62 компаний по всему миру, из них 21 жертва находилась в
России.
В основном, это компании малого и среднего бизнеса из сферы строительства, туризма, розничной торговли.
Вымогатели требуют выкуп от $10 000 до $100 000 (от 800 тысяч рублей до 8 млн рублей), за расшифровку данных, но при этом не похищают информацию и не выкладывают их на
DLS для дальнейшего шантажа.
В качестве канала коммуникации с жертвами хакеры используют электронную почту и
Telegram.
По истечении 30-дневного срока все данные в скомпрометированной системе уничтожаются, если не будет выплачен выкуп.
В российском сегменте наряду с
LokiLocker злоумышленники использовали другой схожий шифровальщик под брендом
BlackBit, который по своему функционалу практически идентичен первому.
В среднем продолжительность атак
LokiLocker и BlackBit составляет от суток до нескольких дней.
В качестве первоначального вектора используются скомпрометированные службы удаленного доступа и, прежде всего, публично доступный терминальный сервер —
RDP.
Для получения доступа к RDP-серверу атакующие используют брут или обращаются к брокерам первоначального доступа.
Получив первоначальный доступ, атакующие стремятся закрепиться в сети и получить привилегированные учетные данные — для этого они используют
Mimikatz.
«Залив» программы-вымогателя в ИТ-инфраструктуру жертвы на Windows-системы проводится атакующими преимущественно вручную, обычно в выходной или праздничный день.
Примечательно, что
ransomware избегает шифрования на компьютерах, где выбран персидский в качестве основного языка интерфейса.
Однако вопрос об атрибуции злоумышленников к конкретной стране, до сих пор остается открытым.
Некоторые исследователи убеждены, что атаки
LokiLocker и BlackBit намеренно проводятся «под чужим флагом» для того, чтобы затруднить работу исследователям.
В свою очередь, исследователи
F.A.C.C.T. не исключают, что состав группы может быть интернациональным, несмотря на то, что партнерская программа и первые версии программы-вымогателя изначально были созданы носителями персидского языка.
2.2K views16:33