В новой sextortion-кампании мошенники используют запароленные архивы

Олег Иванов 08 Апреля 2019 - 15:51

Домашние пользователи

...

Не так давно список киберугроз пополнился мошенничеством, известным на сегодняшний день под названием sextortion — злоумышленники шантажируют пользователей под страхом публикации видео- или фотоматериалов, записанных во время посещения ими сайтов для взрослых. В новой подобной кампании злоумышленники рассылают защищенные паролем ZIP-файлы, это помогает придать шантажу более грозный вид.

В этих запароленных архивах, которые приходят вместе с угрозами по электронной почте, якобы находятся видеоролики, записанные в момент посещения жертвой сайтов для взрослых.

Злоумышленники рассчитывают, что имена файлов вкупе с невозможностью просмотреть их содержимое без пароля напугают пользователя в достаточной степени, чтобы он заплатил шантажистам деньги.

В противном случае мошенники угрожают жертве позором — порочащие их материалы будут разосланы членам их семьи, друзьям и знакомым. В этой кампании преступники требуют сумму $660 в биткоинах.

В запароленных архивах находятся файлы с именами Camera-Vid.avi, contacts.txt, debt.txt, Google_Chrome_Default.txt, information.txt и screenshot.jpg. По мнению атакующих, это должно напугать пользователей.

Злоумышленники, к слову, попытались заработать и на этом — жертве предлагается купить пароль от архивов за $50. Приобрести его можно на сайте cryptonator.com, куда ведет ссылка в письме.

Эксперты MyOnlineSecurity, первыми обнаружившие эту кампанию, призывают не забывать о том, что это всего лишь «развод», на который не стоит обращать внимание.

В феврале мы писали, что киберпреступники запустили новую вредоносную кампанию — пользователей убеждают в том, что один из самых популярных сайтов для взрослых Xvideos[.]com был взломан, в результате чего всех посетителей записывали посредством веб-камеры.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 23 Мая 2024 - 16:42

Windows Вирусы-вымогатели Вирусы-шифровальщики Целевые атаки Таргетированные атаки Корпорации Лаборатория Касперского

Новый вымогатель ShrinkLocker использует BitLocker в атаках на Windows

Специалисты команды Kaspersky GERT зафиксировали кибератаки на корпоративные устройства, в которых фигурирует новая программа-вымогатель. Этот вредонос отличается использованием легитимной функциональности Windows — BitLocker.

Заметим, что это не первый зловред, применяющий BitLocker для шифрования. Например, в 2022 году мы рассказывали о кибератаках группировки DEV-0270 (Nemesis Kitten), в которых также использовалась BitLocker.

Новый шифровальщик, о котором рассказала «Лаборатория Касперского, получил имя ShrinkLocker. Его операторы атакуют преимущественно промышленные и фармацевтические предприятия. Иногда целью становятся и государственные учреждения.

Киберпреступники написали под свои задачи скрипт на VBScript, который обычно используется для автоматизации задач на Windows-компьютерах. Код проверяет версию установленной Windows и, опираясь на нее, активирует BitLocker. По словам исследователей, ShrinkLocker может атаковать как старые, так и актуальные версии ОС.

Сначала вредоносный скрипт меняет параметры загрузки системы, а затем — шифрует разделы жесткого диска с помощью BitLocker. Чтобы зараженное устройство могло загрузиться, вредонос создает новый загрузочный раздел.

Кроме того, операторы вымогателя удаляют защитные инструменты, которые должны обеспечивать безопасность ключа шифрования BitLocker, чтобы пользователь не смог впоследствии его восстановить.

На подконтрольный злоумышленникам сервер отправляется информация о системе и ключ шифрования, сгенерированный на скомпрометированном устройстве. Далее удаляются логи и файлы, которые могут вывести специалистов на операторов ShrinkLocker.

Последним этапом программа-вымогатель принудительно блокирует вход в ОС, а пользователь видит сообщение следующего содержания: