Новая вредоносная программа Acronym, предположительно, связана с Potao

Олег Иванов 16 Марта 2017 - 10:06

Домашние пользователи

Windows

Eset

Программы-вымогатели

Программы-шифровальщики

...

Новая вредоносная программа Acronym, предположительно, связана с Potao

Исследователи Arbor Networks столкнулись с новой версией вредоносной программы, которая может быть связана с трояном, используемым в кампании Operation Potao Express.

Вредонос привлек внимание экспертов Arbor Networks после того, как экспертом из Италии, известным под именем Antelox, в Twitter была размещена ссылка на его анализ VirusTotal. Анализ трояна и его дроппера показал, что он может быть связан с семейством вредоносных программ Potao.

Potao описывали как «универсальный модульный инструментарий для кибершпионажа», он появился приблизительно в 2011 году, однако впервые детально был проанализирован ESET в 2015 году.

В своем отчете компания ESET заявила о том, что зловред, скорее всего, родом из России, а использовался он в атаках, направленных против организаций в Украине, России, Грузии и Беларуси.

Как полагает Arbor Networks, новая вредоносная программа, получившая название «Acronym», может быть связана с Potao. Acronym и его дроппер, предположительно, были созданы в середине февраля.

Дроппер предназначен для завершения системного процесса Windows wmpnetwk.exe и замены легитимного файла wmpnetwk.exe на вредоносный. После запуска Acronym использует реестр или планировщик заданий, чтобы закрепиться в системе. Затем он связывается с командным центром и отправляет ему информацию о зараженной машине.

Как и Potao, Acronym является модульной вредоносной программой. Его встроенные команды позволяют злорумышленнику делать скриншоты, загружать и выполнять файлы, запускать плагины.

На этом сходства этих двух вредоносов не заканчиваются – оба пытаются связаться с командным центром через одни и те же порты и используют имена временных файлов, начинающиеся на «HH».

С другой стороны, есть несколько отличий в работе Potao и Acronym – дроппер Acronym, например, не использует документы для распространения, DLL-файлы и внедрения в процессы тоже не были замечены в работе этого зловреда. Более того, некоторые куски кода Acronym, в том числе отвечающие за связь по протоколу HTTP, шифрование и скриншоты, похоже, были скопированы из общедоступных примеров.

«На данный момент довольно трудно оценить, насколько активно и широко распространено это новое семейство, но у него определенно есть потенциал» - утверждает эксперт Arbor Networks, Деннис Шварц (Dennis Schwarz).

Следующая главная новость »

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!

Екатерина Быстрова 29 Апреля 2026 - 12:36

Целевые атаки Таргетированные атаки Утечки информации Умышленные утечки информации Кража данных Корпорации

ShinyHunters добрались до данных Vimeo через Anodot

Vimeo сообщила о несанкционированном доступе к данным части пользователей и клиентов. Киберинцидент связан не с прямым взломом самой видеоплатформы, а с недавней атакой на Anodot — сторонний сервис для выявления аномалий в данных.

По предварительным данным Vimeo, злоумышленники получили доступ в основном к технической информации, названиям видео и метаданным.

В некоторых случаях среди затронутых данных также были адреса электронной почты клиентов. При этом компания подчёркивает, что сами загруженные видео, учётные данные пользователей и платёжная информация не пострадали.

Ответственность за атаку взяла на себя группировка ShinyHunters. Она утверждает, что получила доступ к данным из облачных сред Vimeo, включая Snowflake и BigQuery, и пригрозила опубликовать информацию, если компания не заплатит выкуп.

Инцидент с Anodot затронул не только Vimeo. По данным СМИ, злоумышленники похитили токены аутентификации и использовали их для доступа к клиентским средам, прежде всего Snowflake. Среди других пострадавших ранее называли Rockstar Games.

Vimeo уже отключила все учётные данные Anodot и убрала интеграцию сервиса из своих систем. Компания расследует инцидент вместе со сторонними специалистами по безопасности и уведомила правоохранительные органы. Пока работа платформы, по словам Vimeo, не нарушена.

«Кража данных с целью вымогательства сегодня уже не редкость. Особенно опасны такие инциденты для компаний, которые хранят большие объёмы персональных данных клиентов: последствия могут включать репутационные потери, штрафы по 152-ФЗ и судебные иски. Помимо базовых мер защиты — шифрования данных, многофакторной аутентификации и регулярных аудитов безопасности — с начала года мы видим рост интереса к сервисам резервного копирования», — Андрей Кузнецов, генеральный директор ООО «РуБэкап» (входит в «Группу Астра»).

«Важно понимать, что СРК существенно снижают риски, связанные с утечками данных: они помогают избежать полной потери информации после атак и минимизируют необходимость публичного раскрытия инцидентов. Неизменяемые копии защищают бэкапы от вирусов-шифровальщиков и позволяют быстро восстановить данные без выплаты выкупа и дополнительных рисков утечки».

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!