Ботнет Necurs распространяет вымогателя Locky через «счета-фактуры»

Ботнет Necurs распространяет вымогателя Locky через «счета-фактуры»

Ботнет Necurs распространяет вымогателя Locky через «счета-фактуры»

Спам-ботнет Necurs, по сообщениям исследователей безопасности Cisco Talos, снова стал распространять вымогатель Locky. Для этого злоумышленники используют письма, замаскированные под счета-фактуры.

В прошлом году Necurs был основным источником распространения Locky и способствовал его лидерству на рынке вымогателей. В мае ботнет переключился на распространения другого вымогателя – Jaff. Как утверждают эксперты, Locky и Jaff тесно связаны.

Ранее в этом месяце эксперты Лаборатории Касперского обнаружили уязвимости в Jaff и сумели создать дешифратор, что позволило жертвам бесплатно восстановить свои данные.

По-видимому, появление дешифратора поспособствовало тому, что Jaff исчез с рынка вымогателей, поэтому Necurs снова переключился на Locky. Письма, распространяющие этого вымогателя, содержат двойной архив с файлом .exe внутри. Ранее они маскировались под подтверждения заказов, квитанции об оплате и бизнес-документы, теперь же выдают себя за счета-фактуры.

Отчет Talos свидетельствует о том, что эта вредоносная кампания характеризуется заметным объемом спама: в течение первого часа на нее приходилось около 7% электронной почты, зарегистрированной одной из систем компании. По словам исследователей, объем уменьшился, но кампания продолжает оставаться активной.

Стоит отметить, что функционал вредоноса претерпел изменения – теперь он не шифрует данные в системах, более поздних, чем Windows XP.

Также эксперты отмечают структуру URL-адреса командного центра (C&C).

«Злоумышленники используют путь /checkupdate как часть структуры URL-адреса. Принцип тот же, что и в прошлой кампании».

Исследователи считают, что авторы шифровальщика в курсе его недостатков, и в скором времени выйдет новая версия, в которой они будут исправлены. Однако на данный момент образец Locky, распространяемый через Necurs, может шифровать только системы Windows XP.

«Кликать по ссылкам в письмах, а также скачивать вложения – довольно рискованное занятие. Пользователи, которые которые не могут прислушаться к этим советам, могут легко стать жертвами вымогательства. Что усугубляет ситуацию, так это то, что оплаченные пользователями выкупы финансируют следующие кампании и атаки злоумышленников. Как всегда, организациям рекомендуется регулярно делать резервные копии своих данных, практиковать восстановление данных и хранить резервные копии в оффлайне» - говорят эксперты.

Microsoft заблокировала взломанный аккаунт и похоронила 25 лет данных

Стример Джошуа Кейн лишился доступа к 25 годам цифровой жизни после взлома аккаунта Microsoft. Вместе с учётной записью пропали файлы из OneDrive, покупки и семейные фотографии, включая снимки его сына в младенчестве.

По словам Кейна, злоумышленник сменил данные безопасности аккаунта. Microsoft признала, что профиль действительно принадлежал ему и был взломан, но восстанавливать доступ отказалась.

В службе поддержки объяснили это внутренними правилами: если настройки безопасности изменены, сотрудники не могут вручную вернуть аккаунт владельцу. Блокировка объявлена постоянной, а связанные с профилем файлы — недоступными даже для инженеров Microsoft.

 

Корпорация также сообщила, что контент OneDrive невозможно извлечь из-за архитектуры шифрования и защиты конфиденциальности. Купленные игры и сервисы пользователю предложили приобрести заново на новом аккаунте. Максимально заботливо.

История быстро разлетелась по соцсетям: публикация Кейна набрала более 2 млн просмотров за 11 часов, а другие пользователи начали рассказывать о похожих случаях.

Формально правила Microsoft допускают блокировку аккаунта при подозрении на мошенническое использование. Но временная мера легко превращается в пожизненный цифровой бан, если хакер успел переписать данные для восстановления.

Сам Кейн признал, что недостаточно защитил аккаунт. Эта история ещё раз напоминает: двухфакторная аутентификация обязательна, а единственная копия важных файлов в облаке — не резервная копия.

Облако не украдут вместе с флешкой. Зато один взлом может отрезать от него владельца навсегда.

RSS: Новости на портале Anti-Malware.ru