Спам-ботнет Necurs, по сообщениям исследователей безопасности Cisco Talos, снова стал распространять вымогатель Locky. Для этого злоумышленники используют письма, замаскированные под счета-фактуры.
В прошлом году Necurs был основным источником распространения Locky и способствовал его лидерству на рынке вымогателей. В мае ботнет переключился на распространения другого вымогателя – Jaff. Как утверждают эксперты, Locky и Jaff тесно связаны.
Ранее в этом месяце эксперты Лаборатории Касперского обнаружили уязвимости в Jaff и сумели создать дешифратор, что позволило жертвам бесплатно восстановить свои данные.
По-видимому, появление дешифратора поспособствовало тому, что Jaff исчез с рынка вымогателей, поэтому Necurs снова переключился на Locky. Письма, распространяющие этого вымогателя, содержат двойной архив с файлом .exe внутри. Ранее они маскировались под подтверждения заказов, квитанции об оплате и бизнес-документы, теперь же выдают себя за счета-фактуры.
Отчет Talos о том, что эта вредоносная кампания характеризуется заметным объемом спама: в течение первого часа на нее приходилось около 7% электронной почты, зарегистрированной одной из систем компании. По словам исследователей, объем уменьшился, но кампания продолжает оставаться активной.
Стоит отметить, что функционал вредоноса претерпел изменения – теперь он не шифрует данные в системах, более поздних, чем Windows XP.
Также эксперты отмечают структуру URL-адреса командного центра (C&C).
«Злоумышленники используют путь /checkupdate как часть структуры URL-адреса. Принцип тот же, что и в прошлой кампании».
Исследователи считают, что авторы шифровальщика в курсе его недостатков, и в скором времени выйдет новая версия, в которой они будут исправлены. Однако на данный момент образец Locky, распространяемый через Necurs, может шифровать только системы Windows XP.
«Кликать по ссылкам в письмах, а также скачивать вложения – довольно рискованное занятие. Пользователи, которые которые не могут прислушаться к этим советам, могут легко стать жертвами вымогательства. Что усугубляет ситуацию, так это то, что оплаченные пользователями выкупы финансируют следующие кампании и атаки злоумышленников. Как всегда, организациям рекомендуется регулярно делать резервные копии своих данных, практиковать восстановление данных и хранить резервные копии в оффлайне» - говорят эксперты.
Злоумышленники утверждают, что взломали системы Huawei Technologies и получили доступ к исходным кодам софта и инструментам разработки. Информация, якобы украденная у производителя телеком-оборудования, выставлена на продажу.
Какие именно внутренние данные удалось заполучить и в каком объеме, продавец не уточнил.
Эксперты проверяют информацию об утечке (авторам атак свойственно бахвальство на пустом месте, ради славы). Официальных заявлений самой Huawei по этому поводу пока нет.
Если кража со взломом подтвердится, инцидент нанесет ощутимый урон репутации техногиганта и создаст дополнительные риски для его глобальной клиентуры.
Утечка исходников способна раскрыть уязвимости софта, проприетарные алгоритмы и механизмы безопасности. Подобную информацию можно использовать для проведения целевых атак.
Корпоративным пользователям продуктов Huawei рекомендуется усилить мониторинг сетей на предмет аномальной активности и удостовериться в том, что наличная защита четко реагирует на IoC, причиной появления которых может оказаться инцидент у поставщика.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
