В атаках буткита-вымогателя MBR-ONI эксперты видят русский след

В атаках буткита-вымогателя MBR-ONI эксперты видят русский след

В атаках буткита-вымогателя MBR-ONI эксперты видят русский след

Обнаруженный ранее в этом году в Японии вымогатель ONI, по мнению экспертов, был призван скрыть сложную хакерскую операцию. Напомним, что данный вредонос шифрует файлы, добавляя к ним расширение .oni.

В опубликованном докладе исследователи Cybereason связали использование ONI со сложными атаками на японскую промышленность. В отличие от традиционных атак вымогателей, эти атаки продолжались от трех до девяти месяцев, а их кульминацией стало использование вымогателя ONI.

В этом же исследовании Cybereason отмечает новую версию буткитов, MBR-ONI, которая модифицирует MBR и шифрует разделы диска.

«Мы пришли к выводу, что как за ONI, так и за MBR-ONI стоят одни и те злоумышленники. Это очевидно, учитывая, что в указаниях о выкупе в обоих случаях указан одинаковый адрес электронной почты», - утверждают исследователи.

В проанализированных Cybereason атаках наблюдается общий принцип. Все начинается с фишинга, призванного внедрить программу удаленного доступа Ammyy Admin. Далее следует этап разведки и похищения данных, а после этого злоумышленники получают полный контроль над сетью. Последним этапом атаки является использование вымогателя ONI и удаление журналов.

MBR-ONI используется всего против нескольких конечных точек, таких как AD-сервер и файловые серверы. Исследователи считают, что MBR-ONI использовался в целях сокрытия основного мотива операции злоумышленников.

Также эксперты подозревают, что не обошлось без эксплойта EternalBlue, так как этот патч не был установлен на взломанных компьютерах.

Примечательно, что код ONI, по словам социалистов, «содержит русский след».

«Несмотря на то, что это может быть ложный след, мы предполагаем, что нападение могло быть совершено русскоязычными киберпреступниками», - говорят исследователи.

MAXимальная потеря: власти Новороссийска не смогли вернуть свой канал

Администрация Новороссийска сообщила о потере своего канала в мессенджере МАКС. По версии чиновников, ресурс взломали 15 июля, причём восстановить его уже невозможно. Подписчиков оперативно позвали в новый канал — старый, судя по формулировке властей, отправился в цифровую бездну окончательно.

История быстро вызвала вопросы. Всё-таки речь идёт о канале муниципальной администрации в российском мессенджере, а не о подпольной бирже секретных документов.

В комментариях пользователи иронизируют: раньше взламывали Telegram, теперь добрались и до МАКС.

Впрочем, версия со взломом оказалась не единственной. Краснодарский аналитик Андрей Гусий написал, что канал мог просто закрыться ночью без предупреждений, уведомлений и понятной причины. При этом, по его словам, опубликованный там контент едва ли нарушал законодательство.

Почему ресурс невозможно вернуть, тоже не объясняется. Гусий обратил внимание на странную конструкцию: отечественный мессенджер, отечественная администрация, а восстановить канал всё равно нельзя.

Пока власти не раскрыли ни подробностей атаки, ни данных о возможных злоумышленниках. Неизвестно также, получили ли посторонние доступ к переписке или публикациям.

В сухом остатке у Новороссийска теперь новый официальный канал, а у МАКС — крайне неудобный вопрос к надёжности. Потому что фраза «взломан без возможности восстановления» для административного ресурса звучит не как реклама цифрового суверенитета, а как его внезапный стресс-тест.

RSS: Новости на портале Anti-Malware.ru