Вымогатель AtomSilo приходит через дыру в сервере Confluence

Вымогатель AtomSilo приходит через дыру в сервере Confluence

Вымогатель AtomSilo приходит через дыру в сервере Confluence

Проведенный в Sophos разбор сентябрьской атаки с участием нового шифровальщика AtomSilo показал, что хакеры проникли в сеть через эксплойт CVE-2021-26084 в Confluence Server. На тот момент соответствующий патч был уже доступен — более того, его выпустили за 2,5 недели до киберинцидента.

Сам AtomSilo оказался ближайшим родственником LockFile: он схожим образом шифрует файлы, но добавляет собственное расширение — .ATOMSILO. За ключ для расшифровки операторы зловреда взимают $200 тыс. в биткоинах, со скидкой 50% в течение первых двух суток. Если оплата не поступит в течение недели, вымогатели грозятся опубликовать данные, которые они якобы украли у жертвы.

Как оказалось, развертывание шифровальщика в целевой сети произошло лишь через 11 дней после вторжения. Точкой входа, как было сказано выше, послужила CVE-2021-26084 — та же уязвимость, которую в начале сентября использовали взломщики инфраструктуры Jenkins.

Инъекция кода позволила хакерам установить бэкдор, загружающий еще три файла, в том числе маячок Cobalt Strike. Примечательно, что запуск загрузчика Cobalt Strike Beacon осуществляется посредством подмены DLL — использование этой техники было замечено также в атаках LockFile.

Закрепившись в целевой сети, злоумышленники начали двигаться вширь в поисках контроллеров домена Active Directory. Доступ такого уровня позволил им очень быстро развернуть шифровальщика в сети — за два дня.

Скрыть вредоносную полезную нагрузку помогала блокировка антивирусной защиты. Алерты появлялись, но как следует распознать зловреда и поместить его в карантин штатные сканеры оказались не в состоянии.

Завершив шифрование, AtomSilo оставляет на машине записку с требованием выкупа в формате HTML. В качестве контактной информации операторы указывают два email-адреса @atomsilo.com. Этот домен зарегистрирован на компанию NameSilo LLC; почтовый сервер расположен в Гонконге.

 

На своем сайте операторы AtomSilo, следуя примеру коллег по цеху, заявили, что не будут трогать медучреждения, учебные заведения, объекты критической инфраструктуры (КИИ) и некоммерческие организации.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Холдинг Fplus все ближе к банкротству

Банки «Санкт-Петербург» и ББР намерены обратиться в суд с исками о банкротстве холдинга Fplus и его генерального директора и совладельца Алексея Мельникова. Ранее аналогичное заявление подал Совкомбанк — он уже просил признать банкротами три юридические организации группы, включая головную структуру.

О планах банков «Санкт-Петербург» и ББР инициировать процедуру банкротства Fplus сообщил «Коммерсантъ», ссылаясь на публикации на портале «Федресурс».

По информации кредиторов, иски будут поданы против головной компании холдинга — «Ф-плюс оборудование и разработки» — а также против дочерней структуры «Мобильные и компьютерные технологии».

Ранее с иском о признании банкротом трёх юрлиц Fplus, включая головную компанию, обратился Совкомбанк. К процедуре затем присоединились Сбер и банк «Санкт-Петербург». По данным «СПАРК-Интерфакс», общая долговая нагрузка Fplus составляет 951 млн рублей.

Гендиректор «Промобита» (бренд Bitblaze) Максим Копосов отмечает, что похожие финансовые трудности сейчас испытывают многие компании — в том числе из-за снижения спроса со стороны государственных структур и госкомпаний.

Ассоциация разработчиков и производителей электроники прогнозирует, что российский рынок электронных компонентов по итогам 2025 года сократится примерно на 25%. В 2024 году рынок уже упал на 2,6%, а доля отечественной продукции на нём долгие годы не превышает 30%.

Юрист White Stone Игорь Ширин подчёркивает: шансов у поставщика на благоприятный исход остаётся немного. «Практика показывает, что крупные кредиторы, как правило, стремятся к быстрому и эффективному удовлетворению своих требований, что часто приводит к конкурсному производству и реализации имущества», — сказал он.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru