Шифрование вымогателя LeChiffre взломано

Александр Панасенко 26 Января 2016 - 22:21

...

В конце прошлой недели стало известно, что системы трех индийских банков и фармацевтической компании поразил вымогатель LeChiffre. Еще тогда специалисты Malwarebytes предположили, что шифровальщик – дело рук любителей.

Эксперт фирмы Emsisoft Фабиан Восар (Fabian Wosar) косвенно подтвердил эту теорию, взломав шифрование LeChiffre за день.

От других шифровальщиков LeChiffre отличается тем, что заражение производится вручную. 22 января 2016 года специалисты Malwarebytes рассказали в блоге, что неизвестный злоумышленник был вынужден вручную внедриться в сети пострадавших компаний, повысить свои привилегии и получить доступ к другим машинам сети, через незащищенные порты Remote Desktop. Проникнув на компьютер жертвы, атакующий вручную инициировал скачивание LeChiffre со своего сервера, а затем запускал вредоносное приложение, передает xakep.ru.

Требование выкупа

Специалисты Malwarebytes сообщили, что вымогатель написан на Delphi, использует алгоритм шифрования AES, а интерфейс управления малварью функционирует на русском языке. Эксперты также отметили, что LeChiffre написан очень непрофессионально и почти никак не защищен от стороннего анализа.

Хотя вредонос не слишком похож на работу профессионала, индийские банки сообщают, что в результате заражения LeChiffre они понесли убытки, исчисляющиеся десятками миллионов долларов. В некоторых случаях банки даже предпочли заплатить преступнику выкуп в размере 1 Bitcoin (около $400 по текущему курсу). В основном выкуп был оплачен для восстановления данных на компьютерах руководства банков.

По последним данным, от деятельности LeChiffre пострадали не только организации, но и простые пользователи в Бразилии и России.

К счастью, на проблему обратил внимание Фабиан Восар, который в последнее время доставляет немало головной боли авторам шифровальщиков. Эксперт уже создал инструмент для дешифровки пострадавших данных, опубликовав его на сайте Emsisoft.

Пока инструмент работает только для LeChiffre версии 2.6. Для работы дешифровщику нужно подключение к интернет, и инструмент должен быть запущен на том же устройстве, на котором находятся пораженные файлы.

Восар пишет, что с радостью изучит и другие версии вымогательского ПО, но для этого ему понадобятся файлы малвари. Всех жертв LeChiffre, особенно пострадавших от других версий вредоноса, просят обратиться в специальнуютему на форумах Bleeping Computer.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 19 Июня 2025 - 09:54

Целевые атаки Таргетированные атаки Атаки на АСУ ТП Корпорации Государство

На критическую инфраструктуру России было совершено 208 тыс. кибератак

Заместитель секретаря Совета безопасности России Алексей Шевцов заявил, что по итогам 2024 года на объекты критической инфраструктуры было совершено более 208 тысяч кибератак, отнесённых к категории опасных.

Эти данные он привёл на I Международной конференции государств — членов ОДКБ по вопросам кибербезопасности, проходящей в Киргизии.

Главной темой мероприятия стало обеспечение безопасности глобальной информационно-коммуникационной технологической среды и обмен опытом в сфере защиты национальных интересов.

Согласно данным компании Red Security, 64% всех зафиксированных кибератак в 2024 году были направлены на объекты критической информационной инфраструктуры (КИИ). Причём 68% из них носили критичный характер. Для сравнения: в 2023 году доля атак на КИИ составляла 47%.

«Отмечается рост количества целенаправленных и хорошо подготовленных атак — их число увеличилось примерно на 60% по сравнению с 2023 годом. Наши исследования показывают, что в 2025 году вредоносная активность, особенно в отношении объектов КИИ, сохранится на высоком уровне», — прокомментировал ситуацию технический руководитель RED Security SOC Ильназ Гатауллин.

Red Security выделяет промышленность как наиболее атакуемую отрасль: на неё пришлась треть всех атак. Центр мониторинга и реагирования на инциденты информационной безопасности госкорпорации «Ростех» (RT Protect SOC) по итогам 2024 года зафиксировал удвоение объёма обрабатываемых событий — до 3 трлн.

«Суть киберугроз меняется, — заявил в интервью «Известиям» первый заместитель генерального директора АО «РТ-Информационная безопасность» Артём Сычёв. — Хакеры больше не идут в лоб. Они действуют как разведчики: проникают незаметно, наблюдают, маскируются под штатную активность, а затем наносят точечные удары. В 2024 году наш SOC обработал 2,94 трлн событий, подтвердил более 2 тыс. атак и научился выявлять угрозы ещё до того, как они могут нанести ущерб».

Основные векторы атак включали фишинг и использование скомпрометированных учётных данных. Часто атаки осуществлялись не напрямую, а через партнёров и подрядчиков. Также получило широкое распространение использование уязвимостей в популярном ПО, таких как WinRAR и Outlook.

По информации, предоставленной «Известиям» экспертами департамента киберразведки (Threat Intelligence) компании F6, в 2024 году количество активных APT-группировок, атакующих российские компании, удвоилось — с 14 в 2023 году до 27. Одновременно значительно возросла и интенсивность атак.

Наибольшую активность против инфраструктуры «Ростеха» проявляли группировки HeadMare и Cloud Atlas.