“Олимпийская” атака удаляет критически важные документы
Использование актуальных тем для проведения фишинговых атак уже давно стало нормой. Поэтому не удивительно было обнаружить новую кампанию, используя как прикрытие “горячие новости” с Токийской олимпиады. Жертвы получают письма с очень интересными заголовками, переход по ссылкам в которых приводит к загрузке вредоносного ПО, основная цель которого — удаление удаление файлов.
Так называемый wiper, проникая на компьютер через зараженное письмо, ищет файлы Microsoft Office, файлы, созданные с помощью японского текстового редактора Ichitaro, а также файлы с расширениями TXT, CSV и LOG. В подобных документах часто содержатся пароли, встречаются важные записи и протоколы работы программ.
Вредоносное ПО выглядит как PDF, но фактически является исполняемым файлом (EXE). Обычно файл носит название типа “[Urgent] Damage report regarding the occurrence of cyber attacks, etc. associated with the Tokyo Olympics.exe.” При запуске файл открывает сайт для взрослых XVideos, стараясь создать ложное впечатление о реальной цели атаки.
Все больше документов Office оказываются зараженными
Новые данные наблюдений Acronis CPOCs показывают, что несмотря на отключение ботнет-сети Emotet (которое случилось ранее в 2021 году), использование документов Office как способа распространения вредоносного ПО продолжает развиваться.
По статистике на начало 2020 года около 20% всего вредоносного ПО приходило на компьютеры жертв вместе с документами Office. Однако по данным Netskope Cloud and Threat Report на июль 2021 этот показатель вырос до 43%!
И хотя именно Emotet длительное время был ведущей силой в вопросах распространения вредоносного ПО вместе с зараженными документами, другие группы взяли на вооружение эту методику и продолжили развитие тренда. Да и в целом электронная почта остается одним из ведущих каналов распространения различных вирусов и нежелательных программ.
Поэтому пользователям, как домашним, так и корпоративным, стоит серьезно задуматься о защите своей почты, если меры для этого еще не были приняты.
LockBit научился применять групповые политики
Последняя версия программы-шифровальщика LockBit обнаружила несколько новых возможностей. Теперь вредоносное ПО может автоматизировать шифрование домена всего домена Windows за счет применения групповых политик Active Directory.
В дополнение к этому печально известное вредоносное ПО теперь может легко отключить Microsoft Defender как раз перед запуском шифрования по всей сети. Группа LockBit также решила воспользоваться трюком Egregor "print bomb" и теперь зараженные системы сразу же распечатывают требования о вкупе на всех подключенных к сети принтерах.
Обычно LockBit требует оплатить порядка $85 000. А широко известно о данной группе стало в апреле, когда им удалось блокировать работу Merseyrail, оператора железных дорог в Ливерпуле и близлежащих районах. Известно, что операторы LockBit делятся 70-80% прибыли от оплаченных выкупов со своими аффилиатами, которые выполняют всю грязную работу по внедрению вредоносного ПО.
Подобное положение дел привлекает немало внимания к LockBit со стороны “энтузиастов”, и сегодня корпоративным сетям с Windows-доменами и Active Directory как никогда становятся нужны средства бихевиористической защиты с возможностью блокировки подозрительного поведения программ.
Загрузчик MosaicLoader просочился на компьютеры жертв через веб-рекламу
Пользователи, которые ищут в сети пиратское ПО, стали попадать на специальную рекламу, которая ведет к загрузке MosaicLoader. Этот загрузчик, который позволяет далее заразить систему новыми пэйлоадами по выбору злоумышленника.
MosaicLoader — это относительно новая киберугроза, которая, тем не менее, уже была замечена за распространением троянских программ, криптоджекеров и инфостилеров. При этом киберпреступная группа, ответственная за создание таких объявлений, приняла немало усилий для маскировки своего ПО под легитимные программные продукты.
Заражения MosaicLoader были обнаружены в самых разных странах, и наиболее эффективным методом защиты от новой угрозы оказалась функция URL-фильтрации, которая не позволяет пользователям переходить на зараженные сайты, а значит исключает загрузку MosaicLoader.
Ransomware возрождаются: новые имена и старые приемы
За последний год на противодействие операторам вредоносного ПО было выделено немало усилий. Например, сети Emotet и DarkSide были отключены за счет скоординированных усилий сразу нескольких сторон, Avaddon практически рассыпался, когда были опубликованы 2 934 ключей расшифровки, а DoppelPaymer и REvil, как будто, ушли “в сумрак”.
Но на протяжении последних пары недель появились три "новых" группы операторов Ransomware, которые удивляют очень большими сходствами с группировками недавнего прошлого — Haron, BlackMatter и Grief. При этом Grief уже успешно атаковали дистрикт Anhalt Bitterfeld в Германии, а также St. Clair County в США.
Опубликованные аналитиками отчеты показывают, что каждая из этих трех новых групп может быть продолжателем дела только что отключенных сетей и платформ. Подозревается, что DoppelPaymer просто переименовали себя в Grief, а Haron оказался очень похож на Avaddon, в то время как BlackMatter демонстрирует похожие черты на DarkSide — а также впитал что-то от REvil.
Для обычных пользователей все это большая проблема, потому что новые виды вредоносного ПО могут просочиться через устаревшие средства защиты, не располагающие бихевиористическими методами обнаружения вредоносной активности. Да и восстановить те файлы, которые успеют зашифровать новые Ransomware без автоматизированной системы резервного копирования будет непросто.
