В атаках буткита-вымогателя MBR-ONI эксперты видят русский след

Олег Иванов 01 Ноября 2017 - 09:39

...

В атаках буткита-вымогателя MBR-ONI эксперты видят русский след

Обнаруженный ранее в этом году в Японии вымогатель ONI, по мнению экспертов, был призван скрыть сложную хакерскую операцию. Напомним, что данный вредонос шифрует файлы, добавляя к ним расширение .oni.

В опубликованном докладе исследователи Cybereason связали использование ONI со сложными атаками на японскую промышленность. В отличие от традиционных атак вымогателей, эти атаки продолжались от трех до девяти месяцев, а их кульминацией стало использование вымогателя ONI.

В этом же исследовании Cybereason отмечает новую версию буткитов, MBR-ONI, которая модифицирует MBR и шифрует разделы диска.

«Мы пришли к выводу, что как за ONI, так и за MBR-ONI стоят одни и те злоумышленники. Это очевидно, учитывая, что в указаниях о выкупе в обоих случаях указан одинаковый адрес электронной почты», - утверждают исследователи.

В проанализированных Cybereason атаках наблюдается общий принцип. Все начинается с фишинга, призванного внедрить программу удаленного доступа Ammyy Admin. Далее следует этап разведки и похищения данных, а после этого злоумышленники получают полный контроль над сетью. Последним этапом атаки является использование вымогателя ONI и удаление журналов.

MBR-ONI используется всего против нескольких конечных точек, таких как AD-сервер и файловые серверы. Исследователи считают, что MBR-ONI использовался в целях сокрытия основного мотива операции злоумышленников.

Также эксперты подозревают, что не обошлось без эксплойта EternalBlue, так как этот патч не был установлен на взломанных компьютерах.

Примечательно, что код ONI, по словам социалистов, «содержит русский след».

«Несмотря на то, что это может быть ложный след, мы предполагаем, что нападение могло быть совершено русскоязычными киберпреступниками», - говорят исследователи.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 29 Октября 2025 - 14:30

Windows Домашние пользователи Корпорации Microsoft

Апдейт Windows 11 KB5067036 добавил защиту администратора в ОС

Microsoft выкатила предварительную версию обновления под номером KB5067036 для Windows 11 версий 24H2 и 25H2. Она включает новую функцию Administrator Protection, переработанное меню «Пуск» и десятки фиксов. Главное нововведение — защита администратора. Она добавляет дополнительный уровень безопасности при выполнении действий, требующих административных прав.

Теперь, чтобы изменить системные настройки, установить программу или получить доступ к важным данным, Windows запросит подтверждение личности через Windows Hello (например, отпечаток пальца, ПИН-код или камеру).

Это снижает риск, что вредоносная программа или сам пользователь случайно изменит системные параметры. Также обновление приносит редизайн меню «Пуск» — теперь оно стало более удобным и адаптивным. Появились:

новые категории и режим сетки для удобного поиска приложений;
прокручиваемый раздел «Все», где проще найти нужную программу;
адаптивный макет, подстраивающийся под размер экрана;
интеграция с Phone Link — теперь можно быстро просматривать содержимое подключённого смартфона.

Другие улучшения

Обновление исправляет десятки ошибок, включая:

проблемы с Media Creation Tool и установкой Windows на ARM-устройствах;
сбои при воспроизведении защищённого контента и при работе HTTP/2-соединений;
ошибки в Проводнике, из-за которых окна могли зависать при открытии;
некорректное отображение текста в некоторых приложениях;
редкие сбои при входе в систему или выходе из сна.

Кроме того, обновлены иконки батареи — теперь они показывают заряд цветом (зелёный, жёлтый, красный) и отображаются даже на экране блокировки.

Microsoft также добавила страницу Microsoft 365 Copilot в мастере настройки, чтобы пользователям коммерческих версий было проще освоить ИИ-функции.

Как установить

KB5067036 можно установить вручную через Параметры → Центр обновления Windows → Проверить наличие обновлений, либо скачать из каталога Microsoft Update. Если включена опция «Получать обновления сразу после выхода», обновление установится автоматически.

Microsoft отмечает, что на данный момент известных проблем с этим патчем нет.