Всем привет! Январь выдался богатым на интересные инфобез-новости. Так, появилась информация о возвращении ZLoader — стоявшие за малварью злоумышленники пустили в ход новую версию. Исследователи связали свежую рансомварь 3AM с выходцами из Conti, и пока последние продолжают киберпреступную деятельность, разработчик TrickBot был приговорён в США. Солидный тюремный срок достался и небезызвестному Pompompurin’у. А чешская Avast ушла из России, закрыв доступ к своим продуктам. Об этом и других громких ИБ-новостях первого месяца года читайте под катом!
Возвращение ZLoader
Возвращение, которого никто не хотел, но некоторые ждали: всплыл новый вариант ZLoader. Спустя почти два года после того как Microsoft перехватила инфраструктуру малвари в апреле 2022-го. Согласно исследователям, новая версия находится в разработке с сентября прошлого года.
Написанный на основе утёкшего кода банковского трояна Zeus ZLoader был активен с 2015-го года и приобрёл известность в 2016-м после атаки по немецким банкам. С 2019-го его обновлённый вариант продвигали под именем «Silent Night». Увы, спустя два года после удара по ботнету ночь перестала быть тихой.
В свежую версию малвари добавили новые методы обфускации, обновлённый алгоритм генерации доменных имён, RSA-шифрование и поддержку 64-битных систем. Из старого всё так же куски мусорного кода и шифрование строк для затруднения анализа. В общем, возвращение ZLoader предвещает череду рансомварь-атак. Подробнее о новой версии старой угрозы читайте в отчёте.
Приключения Conti после Conti
К вопросу о жизни Conti после их неудачной попытки играть в геополитику и последовавшего за этим развала. Исследователи связали свежую рансомварь 3AM с бывшими членами группировки.
Вредонос всплыл в сентябре, но вот инфраструктура, сервера и прочее у него от Conti. Так, используемый 3AM айпишник светился у Conti на доставке Cobalt Strike ещё в 2020-м году. Саму же рансомварь, судя по всему, распространяют её бывшие члены, работающие под брендом Royal, бывшие члены киберпреступного синдиката из Team 2.
Помимо старой инфраструктуры у ушедших в тень членов Conti новые методы давления на жертв. Группировка, стоящая за 3AM, использует ботов в eX-Твиттере, чтобы оставлять ссылки на утечки в комментариях популярных аккаунтов. Кроме того, они рассылают информацию о взломе подписчикам жертв в соцсетях. Однако судя по тому, что группировка пока использовала это ноу-хау социальной инженерии только один раз, особого выхлопа оно не принесло.
Avast попрощалась с Россией
В январе ещё одна крупная IT-компания ушла из России: чешская Avast закрыла доступ к своим продуктам пользователям из РФ. То есть попросту заблокировала их работу на территории России.
29 января юзеры по всей стране столкнулись с отказом софта на ПК и мобильных устройствах. Ни Avast, ни AVG, включая и бесплатную версию последнего под Андроид, больше не функционируют. Ограничения коснулись и популярной утилиты CCleaner. Сайты компании из РФ теперь тоже недоступны. Служба поддержки Avast же доверительно сообщает, что услуги на территории России и Беларуси больше не предоставляет. Ну а при запуске софта пользователя ждёт лишь ехидное окошко «К сожалению, этот продукт не поддерживается в вашем текущем местоположении».
Иными словами, наше положение в пространстве-времени и всё ему сопутствующее чехам не по душе. Желающим продолжать использовать софт придётся подрубать VPN или танцевать с DNS-бубном.
Мать всех утечек
В ушедшем месяце исследователи из Cybernews обнаружили супермассивную чёрную дыру утёкших данных. Тщательно перепакованная и реиндексированная из прежних сливов коллекция получила название «Мать всех утечек». И вполне заслуженно. В массиве 12 терабайт данных. И 26 миллиардов записей.
Всего в сливе 3,800 папок, по одной на каждую вошедшую в него утечку. И высока вероятность, что в нём также ранее не встречавшиеся в сети данные. Сотни миллионов строк с Weibo, Twitter, LinkedIn, VK, Telegram и других площадок. Данные правительственных организаций разных стран. И прочее-прочее.
В общем, потенциально у нас кандидат на беспрецедентное воздействие по всей индустрии, особенно в отношении среднего пользователя с его повторяющимися паролями. Год начинается ярко, прямиком с невиданных ранее рекордов.
Публикация данных пользователей Альфа-Банка
В середине октября проукраинские хакеры заявляли о взломе Альфа-банка и утечке их базы данных. В ней якобы ни много ни мало 38 миллионов клиентов банка. Ну а в январе по следам осенних обещаний взломщики сообщили об обещанной публикации всей базы. В ней по заявлениям злоумышленников ФИО, дата рождения, номера счетов, телефоны физических и юридических лиц. Таблица на 115 миллионов записей с 2004-го года.
Тем не менее, резонансных случаев с кражей денег клиентов банка пока не было, что заставляет усомниться в заявлениях хакеров. Альфа-банк же верен себе и на развёрнутые комментарии каких-то там невнятных сливов не разменивается. Как и в октябре, кратко и довольно косноязычно сообщили следующее: «Это фейк. Сведения скомпилированы из разных источников, где люди оставляют данные про себя». По следам таких заявлений хочется данные про себя более нигде не оставлять, особенно в документах на открытие банковского счёта.
Громкие приговоры января
В прошлом месяце разработчика TrickBot Владимира Дунаева, он же FFX, приговорили к пяти годам и четырём месяцам тюрьмы в Штатах. 40-летний гражданин России был арестован в Южной Корее в сентябре 2021-го и экстрадирован в США. Там его и восьмерых подельников и судили за разработку малвари.
Дунаев начал работу на стоявших за TrickBot злоумышленников в 2016-м году. Небезызвестная малварь функционировала в качестве инфостилера и банковского трояна, ответственного за кражу десятков миллионов долларов. Это уже второй разработчик, обвиняемый в работе над Trickbot, после Аллы Витте.
Между тем в феврале и сентябре прошлого года 18 связанных с TrickBot и Conti человек попали под санкции США. Иными словами, Contigate 2022-го продолжает аукаться всем причастным, и о судах над участниками преступного синдиката, скорее всего, мы услышим ещё не раз.
