Эксперты нашли реинкарнацию крайне успешного вымогателя GandCrab

Эксперты нашли реинкарнацию крайне успешного вымогателя GandCrab

Новое семейство программ-вымогателей содержит множество отсылок к знаменитому вредоносу GandCrab. При этом, как вы наверняка слышали, разработчики GandCrab в этом году решили свернуть свои операции, а также потребовали того же от всех киберпреступников, использующих этот зловред.

GandCrab удалось стать одним из самых успешных вымогателей в 2018 и 2019 годах. Его авторы предлагали вредонос злоумышленникам по подписке, за процент от прибыли.

Однако в июне разработчики GandCrab внезапно решили, что заработали достаточно денег (более $2 миллиардов), чтобы спокойно уйти на покой. Причём киберпреступникам понадобилось всего полгода, чтобы получить такой доход.

Многие эксперты откровенно сомневались в том, что авторы вымогателя действительно свернули свои операции. А теперь исследователи ещё и наткнулись на другой вредонос, связанный с GandCrab техническими аспектами.

Новый вымогатель получил имя REvil, специалисты считают, что у них с GandCrab один автор. REvil некоторые знают ещё под другим именем — Sodinokibi, эта вредоносная программа появилась незадолго до прекращения деятельности GandCrab.

В итоге сейчас REvil по праву считается одной из самых многообещающих программ-вымогателей.

Деятельность зловреда проанализировала команда Secureworks Counter Threat Unit. Специалисты нашли общие черты, доказывающее, что у REvil и GandCrab один автор — эту преступную группу принято называть Gold Garden.

Есть мнение, что новый вымогатель является реинкарнацией своего невероятно успешного предшественника.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Преступники взломали 120 серверов Revive и внедрили вредоносную рекламу

В ходе вредоносной кибероперации, которую исследователи окрестили «Tag Barnakle», злоумышленники взломали более 120 серверов и внедрили злонамеренный код, перенаправляющий посетителей веб-сайтов на мошеннические ресурсы.

По сути, активность Tag Barnakle неслабо всколыхнула сферу онлайн-рекламы, поскольку за год киберпреступников не только не удалось остановить, так они ещё и удвоили число взломанных серверов.

Операцию злоумышленников описали исследователи из компании Confiant. По их словам, за год преступники ничего не меняли в своём подходе — они по-прежнему атакуют непропатченные серверы Revive. В частности, в арсенале атакующих имеется эксплойт для известных уязвимостей в Revive.

Сам вредоносный код состоит преимущественно из снятия цифрового отпечатка браузера пользователя, на основе которого активируется редирект на один из мошеннических или злонамеренных сайтов. При перенаправлении жертвы учитываются отдельные параметры: устройство, браузер.

 

В прошлом году Tag Barnakle атаковала пользователей десктопных версий браузера. Посетителей перенаправляли на ресурс, содержащий вредоносные программы. Теперь же злоумышленники переключились и на владельцев мобильных устройств, которых отправляют на мошеннические сайты.

 

По оценкам специалистов Confiant, кампания Tag Barnakle затронула «сотни миллионов пользователей»

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru